阿摩線上測驗
6. 【題組 1 背景描述如附圖】下列何者「不」是利用工具技術偵
測應用系統弱點的機制?
(A) 弱點掃描
(B) 滲透測試
(C) 社交工程
(D) 源碼檢測
答案:登入後查看
統計: A(2), B(4), C(534), D(8), E(0) #3102137
統計: A(2), B(4), C(534), D(8), E(0) #3102137
詳解 (共 1 筆)
hiiii
#6316633
**答案:(C) 社交工程**
---
### 各選項解釋:
1. **(A) 弱點掃描(Vulnerability Scanning)**
**屬於技術偵測機制**。透過自動化工具(如 Nessus、Qualys)掃描系統或應用程式,比對已知漏洞特徵(如 CVE),識別未修補的弱點,直接針對技術層面進行檢測。
1. **(A) 弱點掃描(Vulnerability Scanning)**
**屬於技術偵測機制**。透過自動化工具(如 Nessus、Qualys)掃描系統或應用程式,比對已知漏洞特徵(如 CVE),識別未修補的弱點,直接針對技術層面進行檢測。
2. **(B) 滲透測試(Penetration Testing)**
**屬於技術偵測機制**。模擬攻擊者手法,結合工具(如 Metasploit、Burp Suite)與人工分析,主動探測系統邏輯漏洞(如 API 缺陷、權限繞過),驗證潛在風險的實際可利用性。
**屬於技術偵測機制**。模擬攻擊者手法,結合工具(如 Metasploit、Burp Suite)與人工分析,主動探測系統邏輯漏洞(如 API 缺陷、權限繞過),驗證潛在風險的實際可利用性。
3. **(C) 社交工程(Social Engineering)**
**不屬於技術偵測機制**。社交工程是透過 **人為操縱**(如釣魚郵件、偽造來電)誘騙使用者提供敏感資訊或執行惡意操作,主要針對「人的弱點」而非「系統技術漏洞」,屬於「非技術性攻擊手法」,而非用於偵測應用系統弱點的工具。
**不屬於技術偵測機制**。社交工程是透過 **人為操縱**(如釣魚郵件、偽造來電)誘騙使用者提供敏感資訊或執行惡意操作,主要針對「人的弱點」而非「系統技術漏洞」,屬於「非技術性攻擊手法」,而非用於偵測應用系統弱點的工具。
4. **(D) 源碼檢測(Source Code Analysis)**
**屬於技術偵測機制**。使用靜態應用程式安全測試(SAST)工具(如 Checkmarx、Fortify)分析原始碼,識別潛在漏洞(如 SQL Injection、XSS),直接針對應用層邏輯進行技術檢測。
**屬於技術偵測機制**。使用靜態應用程式安全測試(SAST)工具(如 Checkmarx、Fortify)分析原始碼,識別潛在漏洞(如 SQL Injection、XSS),直接針對應用層邏輯進行技術檢測。
---
### 關鍵區別:
- **技術偵測機制**:直接針對系統、程式碼或網路架構進行技術性分析(如弱點掃描、源碼檢測、滲透測試)。
- **社交工程**:屬於「攻擊手法」而非「偵測工具」,其目標是「人」而非「系統技術缺陷」,因此與題目要求的「工具技術偵測應用系統弱點」無關。
- **技術偵測機制**:直接針對系統、程式碼或網路架構進行技術性分析(如弱點掃描、源碼檢測、滲透測試)。
- **社交工程**:屬於「攻擊手法」而非「偵測工具」,其目標是「人」而非「系統技術缺陷」,因此與題目要求的「工具技術偵測應用系統弱點」無關。
---
### 結論:
選項 **(C) 社交工程** 並非技術性弱點偵測機制,而是利用人性弱點的攻擊手段,因此是正確答案。其他選項均為技術導向的弱點識別方法。
選項 **(C) 社交工程** 並非技術性弱點偵測機制,而是利用人性弱點的攻擊手段,因此是正確答案。其他選項均為技術導向的弱點識別方法。
0
0