試題詳解

27. 題組背景描述如附圖。若您於事件結束後，轉換工作擔任某系統整合 商（System Integration, SI）資安工程師，近期公司承接政府一級單位 某資訊系統建置案，政府一級單位皆通過 ISO/IEC27001 認證，並在需 求建議書（Request for Proposal, RFP）文件中要求：(1)在系統上線前與 保固期間該專案軟體必須每季通過 OWASP Top 10 安全檢測、(2)相關 程式源碼必須通過白箱檢測、(3)系統上線前應修補與提出對應防護機 制，來完成硬體、作業系統、Web Service（如：IIS7, Tomcat, WebLogic） 漏洞、(4)上線後還需經過第三方滲透測試。若您要進行安全技術作業 來滿足上述軟體開發安全架構、服務環境安全架構需求，下列敘述何 者「不」正確？
(A) 建議該單位通過 OWASP Top 10 安全檢測，通常可採用安全測試 工具，如：Acunetix、WebInspect
(B) 可採用白箱檢測（white-box testing），又稱源碼分析（Source Code Analysis）工具，可以分析已經 Compile 後的執行檔程式，如： Fortify、IDA Pro
(C) 在 Web 服務的防護對策，建議該單位採購網站應用程式防火牆 （Web Application Firewall, WAF）來進行過濾攔阻攻擊行為，而 WAF 有軟體式與硬體式規格
(D) 在滲透檢測（Penetrant Testing, PT）作業上，因為已經是上線對外 服務的系統，在滲透攻入成功後，應嚴守不破壞該資訊系統程式 與資料