13. 某公司被主管機關要求須每年進行網路資安健檢，下列何者較「不」 符合主管機關之資安健檢要求？
(A) 到場網頁應用程式弱點掃描
(B) 到場網路安全備份服務
(C) 遠端網路弱點掃描
(D) 遠端滲透測試

14. 某公司在網站弱點檢測報告中發現系統存在跨網站指令碼（Cross-Site Scripting, XSS）及開放式重定向（Open Redirect）問題，下列何者方案 可針對上述問題進行修補？ (A) XSS 可以透過過濾此符號“＜”根治 (B) Open Redirect 可採用圖像式驗證根治 (C) 採用參數化查詢（Prepared Statement）可以解決 XSS (D) HTML.Encode 是可以解決 XSS 的一種方法

15. 關於軟體組成分析（Software Composition Analysis），下列敘述何者「不」 正確？ (A) 可透過分析來識別所使用第三方/開源軟體，其所存在的風險或 威脅 (B) 「軟體組成分析」為源碼檢測其一類型，主要分析軟體是否存在 開發語法缺陷 (C) 所分析的風險因子包括，如：元件過期、已知弱點、程式庫信 任、軟體授權等 (D) 「軟體透明度」能提升分析準確性，可透過如 SBOM 標準來發 佈與交換資訊

複選題16. 開放式系統互聯模型（Open System Interconnection Model, OSI）中，下列哪些「不」是在傳輸層（Transport Layer）的攻擊手法？（複選） (A) Smurf Attack (B) DNS Poisoning (C) SYN Flood (D) Ping of Death 

複選題複選題17. HTTP/3 標準已經開始被國內外大型網站所建置使用，而 HTTP/3 安全 性更是高於 HTTP/1 與 HTTP/2，關於 HTTP/3 的技術與特性，下列敘 述哪些正確？（複選）(A) HTTP/3 就是 HTTP over QUIC 方式來進行資料傳送與接收，而 QUIC 是 Google 所提出的標準(B) QUIC 採用 UDP 通訊協定，目前許多 Proxy 產品會採用強迫轉回 到 TCP 方式進行過濾攔阻(C) 在 HTTP/3 採取更嚴格安全檢核標準，目前駭客所使用中間人攻 擊（Man-In-The-Middle attack, MITM）之工具與技術很難加工處 理(D) HTTP/3 仍使用 TCP 協定作為對話（Session）的傳輸層

複選題複選題18. 關於虛擬修補（Virtual patch），下列敘述哪些正確？（複選）(A) 透過分析與攔截惡意網路封包內容，而達成防護效果(B) 虛擬修補對網路攻擊防護極為有效，可取代弱點修正與更新(C) 針對已知攻擊特徵，亦可於入侵防禦系統（IPS）或網站應用程 式防火牆（WAF）上設定規則阻擋(D) 常於零時弱點（Zero day）、老舊系統無法修復、人力不足無法更 新程式等情境應用

複選題19. 滲透測試是一個綿密驗證過程，熟悉每個應用環節十分重要，關於個別滲透實例與技術，下列敘述哪些正確？（複選） (A) 內網滲透測試，挖出網路分享（SMB）主機帳號： Administrator，密碼：Gov*"#~）Tw[x，當您在 CMD 模式下使用 net use 指令時，其寫法為：net use .10.10.1 " Gov*"#~）Tw[x " /u:Administrator (B) 某 PHP 網站採用 Linux 主機對外開通 SSH 服務，擬將一個 web shell 程式放入遠端主機，其上傳檔案連線寫法可為：scp backdoor.php root@remoteserver:/www/root/ (C) MYSQL 廣泛被用在各類資訊系統，如果試圖利用 MySQL 寫 WebShell 有：union select、lines terminated by、lines starting by、 fields terminated by、COLUMNS terminated by 等寫入方式 (D) Trusted Service Paths 漏洞是 Windows 作業系統提權的一種手法，Windows 服務通常以 system 權限運行，可用以下指令找出 系統服務中執行檔下完整路徑包含空格且沒有被雙引號括起來的位置：wmic service get name, displayname, pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows" |findstr/i /v """ 

複選題20. 關於資安事件應變通報與情資分享，下列敘述哪些「不」正確？（複 選） (A) 資通安全管理法子法規定，公務機關辦理資通安全事件之通報， 應於事件發生後一小時內進行通報 (B) 資安事件分享屬 ISAC 服務範圍之一 (C) 資通安全管理法子法規定之事件嚴重等級共分四級，第一級為最 嚴重，第四級為最輕微 (D) 我國 ISAC 機制設計，針對跨領域之資安情資分享，建議採用 STIX 與 TAXII 之格式與機制

21. 【題組 1 背景描述如附圖】針對主機的弱點偵測掃瞄結果，並且查詢 過 Nessus 的改善方式，參如前述規劃資安防護事項，下列選項何者最 符合提升主機的弱點防護？ (A) AC (B) DF (C) GI (D) JL

22. 【題組 1 背景描述如附圖】製造執行系統（Manufacturing Execution System, MES）廠商回覆既有系統只能在原 Windows XP 作業系統下才 能正常運行，而且不能安裝最新的防毒軟體，作業上辦公室僅有一台 電腦會到 MES 去更新生產資料，以及廠商可能不定期遠端協助檢查作 業問題，其他作業皆在工廠端直接操作相關系統，參如前述規劃資安 防護事項，下列選項何者最符合提升工廠的 OT 系統與設施的防護？ (A) ADF (B) BDF (C) ACF (D) BEF

23. 【題組 1 背景描述如附圖】針對辦公室的工作環境，為了有效減少內 部安全漏洞，參如前述規劃資安防護事項，下列選項何者防禦措施為 最佳？(A) AEK(B) BDK(C) DEL(D) ABL

115年 - 115-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#139174

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128