3. 要達成「資安聯防」目標，下列何者機制較為重要？
(A) 資安情資分享
(B) 公開金鑰基礎建設
(C) 分散式滲透測試
(D) 開放原始碼

4. 在網站弱點檢測報告中，發現系統存在路徑竄改（ Path Manipulation ） 問題時，可以採取下列何種方案進行修補？ (A) 可以使用白名單路徑跟黑名單危險字串 (B) 可以採用圖像式驗證即可根治 (C) HTML.Encode (D) Prepared Statement

5. 美國國家安全局 NSA 的永恆之藍（ EternalBlue ）漏洞利用程式及 WannaCry 勒索病毒之攻擊手法，至今仍有攻擊事件，其主要是利用下 列何者？ (A) Windows SMB 漏洞（ MS17-010 ） (B) POODLE 漏洞（ Padding Oracle On Downgraded Legacy Encryption ） (C) 零時差漏洞攻擊（ Zero-day attack ） (D) 微軟 Office 記憶體毀損漏洞（ CVE-2017-11882）

6. Heartbleed（ CVE-2014-0160 ）漏洞主要是攻擊有問題的 SSL 機制，嘗 試取得未加密的記憶體訊息，請問當發生此漏洞時，攻擊者一次可從 記憶體中讀取多大的資料？ (A) 64K (B) 640K (C) 1024K (D) 1280K

7. 關於跨站請求偽造（ Cross-Site Request Forgery, CSRF 或 XSRF ）的防 禦方式，下列何者「不」適用？ (A) 檢查請求（Request）的來源位址（驗證 HTTP Referer ） (B) 在 Server Site 產生 token，存在 Server 的 session 中 (C) 使用圖型驗證碼 (D) Prepared Statement

8. 關於集線器（ Hub ），下列敘述何者「不」正確？ (A) 為開放式系統互聯模型（ Open System Interconnection Model, OSI ） 中，實體層（ Physical Layer ）的設備 (B) 駭客可利用介接此設備監聽網路封包 (C) 進入到任一埠（ Port ）的封包，都會被廣播到其他 Port (D) 可用來區隔廣播領域（ Broadcast domain ）

9. 某駭客成功滲透進入公司的內部網路，藉由控制一台電腦發動生成樹 協定（ Spanning Tree Protocol, STP ）控制攻擊，請問駭客接下來最有 可能執行下列何項動作？ (A) 在受欺騙的根交換器（ Root Bridge ）啟用鏡像流量，並轉送所有 網路流量到受到控制的電腦 (B) 在受欺騙的根交換器（ Root Bridge ）啟用開放式最短路徑優先 （ Open Shortest Path First, OSPF ）協定 (C) 對內部網路中的所有第二層交換器重複相同的攻擊 (D) 重複相同的攻擊形成阻斷服務攻擊，癱瘓內部網路

10. 當資安外洩事件發生後，若須確保證據的完整性，應對已被入侵的硬 碟做下列何項處理？ (A) 將原硬碟加密並進行鑑識工作後，再進行雜湊比對 (B) 將原硬碟進行雜湊比對、位元層級複製，並對複製後的新硬碟進 行雜湊比對，確認與原硬碟相符，對新硬碟進行鑑識工作 (C) 在系統安裝一顆新硬碟，複製原硬碟所有檔案到新硬碟，對新硬 碟進行鑑識工作 (D) 對原硬碟直接進行鑑識工作

11. 關於優良保密協定（ Pretty Good Privacy, PGP ），下列敘述何者「不」 正確？ (A) 使用 IDEA 的演算法作為加密驗證之用 (B) 支援訊息的身份認證和完整性檢查 (C) 使用了公鑰基礎設施（ PKI ）進行身份的鑑別（ Authentication ） (D) 同時做用了對稱式金鑰（ Symmetric Key ）加密與非對稱金鑰 （ Asymmetric Key ）加密

12. 物聯網是當前應用發展最快速的科技之一，為確保國內相關產品的資 訊安全，經濟部工業局規劃從：實體安全、系統安全、通訊安全、身 分鑑別與授權機制安全、及隱私保護等五個安全構面，參照國際物聯 網相關資安標準/規範，制訂物聯網資安環境標準以推升國內資安產業 自主研發能量，建立國內穩定且安全的產業發展環境。以影像監控系 統資安標準為例，下列何者「不」是引用開放網頁應用程式安全計畫 （ Open Web Application Security Project, OWASP ）的規範項目？ (A) 實體安全要求出廠產品之實體埠必須具備安全管控 (B) 產品硬體設計須具備異常狀態之警示機制 (C) 敏感性資料傳輸之通訊安全必須使用 FIPS 140-2 所核可之加密演 算法，以確保機密性 (D) 身分鑑別機制要求，在透過管理介面存取產品資源前，須透過具 備防止重送攻擊之身分鑑別機制

13. 關於網站應用程式中之注入攻擊（ Injection ），下列敘述何者「不」正 確？ (A) 此攻擊是因為網站應用程式未對輸入資料進行驗證（ validated ）、 過濾（ filtered ）或清除（ sanitized ） (B) 輸入之惡意資料被應用程式直接使用或串連查詢條件，如：改變 SQL 查詢來取得未授權資料或執行系統指令 (C) 如欲防止此類漏洞產生，需要將輸入之資料與指令或查詢語法隔 離，避免應用程式執行非預期之行為 (D) 應用程式伺服器透過「白名單」方式來驗證資料正確性，並直接 傳入解譯器（ Interpreter ），可完全避免此攻擊

115年 - 115-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#139174

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128