阿摩線上測驗
22. 下列何者「不」是評估應用程式安全性的檢測方法?
(A) Penetration Testing
(B) Ransomware Testing
(C) Threat Modeling
(D) Source Code Review
統計: A(142), B(683), C(365), D(228), E(0) #3055963
詳解 (共 6 筆)
勒索病毒(ransomware)通常是透過加密被害者電腦系統的所有檔案來要求贖金。病毒成功執行後通常會從駭客所控制的網路端伺服器獲取一個金鑰,接著利用這個隨機生成的金鑰來加密電腦中所有的檔案。在加密完成之後,被害者的電腦便會顯示倒數器還贖金交付的數量與方式,只有在被害者交付贖金之後,檔案才能被回復。
通常不會以植入病毒來侵害測試者的電腦系統來測試,故本題選B。
這題的正確答案是 (B) Ransomware Testing。
答案解析
題目問的是評估「應用程式安全性(Application Security)」的檢測方法。我們需要區分哪些是針對軟體程式碼與系統漏洞的檢測,哪些不是。
-
(B) Ransomware Testing ❌(不是應用程式安全性檢測): 「勒索軟體測試」並不是一種標準的應用程式安全性檢測方法。勒索軟體(Ransomware)是一種惡意軟體攻擊手法。企業通常會透過「勒索軟體演練」或「資安意識培訓」來測試員工是否會點擊釣魚郵件,或是測試備份還原流程是否健全,這屬於組織整體的資安防禦與應變演練,而非用來檢測特定應用程式本身安全性的方法。
-
(A) Penetration Testing ⭕(滲透測試): 俗稱黑箱測試。檢測人員模擬駭客思維,在不清楚應用程式內部架構或原始碼的情況下,從外部對執行中的應用程式進行攻擊嘗試(例如尋找 SQL 注入、XSS 等漏洞),用以評估應用程式抵禦外敵的能力。
-
(C) Threat Modeling ⭕(威脅建模): 這是在應用程式開發初期(設計階段)就進行的安全評估方法。透過識別系統的資產、繪製資料流向圖(DFD),來預先分析應用程式可能面臨的潛在威脅(例如常用 STRIDE 模型),並在寫程式前就設計好防禦對策。
-
(D) Source Code Review ⭕(原始碼審查): 俗稱白箱測試。透過人工檢視或自動化工具(SAST,靜態應用程式安全測試),直接對應用程式的程式碼進行逐行檢查,找出隱藏在程式碼中的安全漏洞(如密碼寫死、未使用參數化查詢等)。
(B) Ransomware Testing(勒索軟體測試)
-
❌ 不是標準的應用程式安全性檢測方法。
-
這比較偏向「惡意程式攻擊模擬」或「惡意軟體防護測試」,不是一般用來檢測應用程式開發安全性的標準流程。