阿摩線上測驗
30. 應用程式安全測試若僅依賴自動化工具進行的成效通常有其侷限,下列描述何者最正確?
(A) 自動化工具可檢測常見問題,但對客製化商務邏輯了解有限而可能產生許多誤報
(B) 自動化工具的軟體授權成本較高,因此人工測試更具成本效益
(C) 自動化工具只能在應用程式處於運行狀態時執行,無法進行靜態程式碼分析
(D) 應用程式安全測試的報告無法由工具自動生成,必須 由人工完成
答案:登入後查看
統計: A(96), B(3), C(4), D(3), E(0) #3536976
統計: A(96), B(3), C(4), D(3), E(0) #3536976
詳解 (共 2 筆)
hiiii
#6721939
題目重點
-
問的是 應用程式安全測試 (Application Security Testing)
-
特別針對 僅依賴自動化工具的侷限性
選項解析
(A) 自動化工具可檢測常見問題,但對客製化商務邏輯了解有限而可能產生許多誤報
✅ 正確。這是 AppSec 實務中最大侷限:工具對 SQLi、XSS 等常見漏洞檢測不錯,但對複雜業務邏輯 (例如多步驟交易流程、權限繞過) 幾乎無能為力,而且誤報/漏報比例高。
(B) 自動化工具授權成本高,因此人工測試更具成本效益
❌ 不一定。人工測試通常更昂貴,因為需要資安專業人力。
(C) 自動化工具只能在應用程式運行時執行,無法進行靜態程式碼分析
❌ 錯誤。應用程式安全測試工具分為 SAST (靜態)、DAST (動態)、IAST (互動),所以也能做靜態分析。
(D) 報告無法自動生成,必須人工完成
❌ 錯誤。自動化工具通常都能自動輸出報告,甚至能直接對接漏洞管理系統。
✅ 正確答案:(A)
? 小記憶法:
-
工具:快、可覆蓋常見漏洞,但 不懂商務邏輯 → 誤報/漏報多
-
人工:懂上下文,能找邏輯缺陷,但貴、慢
0
1