阿摩線上測驗
19. OWASP Top 10:2021 是網頁安全領域中經常被拿來參考的弱 點種類,請問下列關於 OWASP Top 10:2021 的描述何項錯誤?
(A) A01:2021 - Broken Access Control:這個種類通常發生在程式沒有做好權限控管,導致可以讀取到其他 使用者的資料,甚至可以切換權限
(B) A03:2021 - Injection:這個種類的弱點風險等級通常偏高,因為無論是 SQL Injection、Command Injection、Code Injection 都有可能造成伺服器資料外洩或是被取得控制權,必須嚴加防範
(C) A06:2021 - Vulnerable and Outdated Components:這 個種類指的是企業的開發人員或系統維運人員沒有定期檢查程式套件、開發框架、作業系統的版本, 導致企業使用的版本存在已知的弱點
(D) A10:2021 - Server-Side Request Forgery (SSRF):這個種類的弱點經常被用在網路探勘或存取內網資料, 不過因為這個種類排在 OWASP Top 10 第十名,威脅性不高,也很難搭配其他弱點一起使用,通常企業不需要優先修補
統計: A(22), B(28), C(38), D(534), E(0) #3441064
詳解 (共 2 筆)
正確答案分析• 錯誤點在於 (D) 的後半段敘述: > 「排在第十名,威脅性不高,也很難搭配其他弱點一起使用,通常企業不需要優先修補」
• 實際情況: SSRF(伺服器端請求偽造) 雖然在 2021 年版排行第十,但它是根據社群問卷調查(業界專家的大量回饋)被特別納入前十名的重大弱點。
• 威脅性極高: 攻擊者可以利用 SSRF 當作跳板,繞過防火牆直接存取企業極為核心的內網資源、雲端中介資料(Metadata),甚至能與其他弱點搭配進行遠端代碼執行(RCE)。
• 修補優先度高: 由於它能直接突破邊界防禦,企業通常需要高度重視並優先修補,絕非選項所說的「不需優先修補」。其他正確選項解析(為什麼不能選)
