30. 下列何項「不」是常見的網站設計安全漏洞?
(A) 脆弱的身分識別控制,造成權限控制失效(Broken Access Control)
(B) 缺乏有效的漏洞修補管理程序和安全設定(Security Configuration)
(C) 雲端服務興起,缺乏資訊基礎設施(Information Infrastructure)並造成資安記錄及監控分散(Security Logging and Monitoring Spread)
(D) 有效的商業電子郵件詐騙(BEC),並造成伺服端請 求偽造(Server-Side Request Forgery, SSRF)

答案:登入後查看
統計: A(1), B(1), C(29), D(28), E(0) #3671666

詳解 (共 1 筆)

#7255995

這題的正確答案是:

(D) 有效的商業電子郵件詐騙(BEC),並造成伺服端請求偽造(Server-Side Request Forgery, SSRF)

解析

這題考的是對漏洞類別攻擊手法的正確分類與定義。

為什麼 (D) 是錯誤的描述(即本題答案)?

  1. 類別錯誤: BEC (Business Email Compromise) 是一種針對「人員」與「流程」的社交工程攻擊(利用電子郵件詐騙轉帳),它主要的問題在於人員警覺性不足或流程檢核不嚴,並非「網站程式設計」本身的代碼漏洞

  2. 因果關係錯誤: BEC 不會直接「造成」 SSRF (Server-Side Request Forgery)

    • SSRF 是因為網頁程式碼未驗證使用者提供的 URL,導致伺服器去存取內部資源。

    • 這兩者是完全不同的概念,選項將它們硬湊在一起,邏輯不通。

其他選項為何屬於常見的網站設計安全漏洞?

這三個選項其實都對應到了 OWASP Top 10 的核心類別:

  • (A) 脆弱的身分識別...權限控制失效 (Broken Access Control):

    • 對應 OWASP Top 10:2021 A01 - Broken Access Control。這是目前排名第一的漏洞,指系統未能正確限制使用者存取權限(如上一題的 IDOR)。

  • (B) 缺乏有效的漏洞修補...安全設定 (Security Configuration):

    • 對應 OWASP Top 10:2021 A05 - Security Misconfiguration 以及 A06 - Vulnerable and Outdated Components。指使用預設密碼、未修補的舊套件或錯誤的雲端權限設定。

  • (C) 雲端服務...資安記錄及監控分散 (Security Logging and Monitoring Spread):

    • 對應 OWASP Top 10:2021 A09 - Security Logging and Monitoring Failures

    • 雖然描述中提到「缺乏資訊基礎設施」這句話有點怪(可能是指雲端化後企業不再自建機房),但後半段的**「記錄及監控失效/分散」**確實是導致攻擊無法被及時發現的主要設計缺陷。

0
0