27. 下列何者「不」屬於滲透測試之手段？
(A) 社交攻擊
(B) 密碼破解
(C) 弱點掃描
(D) 分散式服務阻斷攻擊

正確答案是 (D) 分散式服務阻斷攻擊 (DDoS)。

解析說明

滲透測試（Penetration Testing） 的核心目標是在「不影響業務正常運作」的前提下，模擬駭客的思維與手法，找出系統的漏洞並加以驗證，最終提供企業修補建議以提升防禦力。

• (D) 分散式服務阻斷攻擊 (DDoS)：DDoS 的目的純粹是透過龐大的流量或請求「灌爆」目標伺服器，使其服務癱瘓、無法對外提供服務。這種攻擊手法無法幫企業找出系統內部的程式漏洞或設定錯誤，且會對企業造成實質的業務損失與中斷。因此，標準的滲透測試絕對不會包含 DDoS 攻擊。

其他選項為什麼屬於滲透測試手段？

• (A) 社交攻擊 (Social Engineering)：如釣魚郵件測試，用來評估企業「人員」的安全意識，屬於紅隊演練與全面滲透測試中很常包含的範疇。

• (B) 密碼破解 (Password Cracking)：測試系統是否存在弱口令、預設密碼，或在拿到雜湊值後進行離線破解，用以驗證身分驗證機制的強度。

• (C) 弱點掃描 (Vulnerability Scanning)：利用工具自動化偵測系統已知的安全弱點，通常是滲透測試前期（資訊收集與偵測階段）不可或缺的基本步驟。