阿摩線上測驗
45. 使用雲端資料庫與應用程式十分方便,但若設定稍有不慎將導致資料外洩或是服務遭到攻擊,下列何項是因設定不慎而導致問題,同時也列為 OWASP TOP 10 2021 之一的漏洞?
(A) Cryptographic Failures
(B) Security Misconfiguration
(C) Vulnerable and Outdated Components
(D) Software and Data Integrity Failures
答案:登入後查看
統計: A(55), B(354), C(118), D(141), E(0) #3441090
統計: A(55), B(354), C(118), D(141), E(0) #3441090
詳解 (共 2 筆)
cherry
#7375521
(B) Security Misconfiguration (安全設定錯誤) —— 正確答案
• 定義:當系統、平台、雲端環境或應用程式沒有進行安全配置,或是配置不當時,就會產生這個漏洞。
• 常見情境:
• 使用系統預設的帳號密碼(如 admin/admin)。
• 雲端儲存空間權限控管錯誤,導致所有人都能直接讀取敏感資料。
• 系統開啟了不必要的服務、通訊埠(Ports)或功能。
• 錯誤訊息洩漏過多系統資訊(如詳細的堆疊追蹤資訊 Stack Trace),讓攻擊者有機可乘。
其他錯誤選項看懂它:
• (A) Cryptographic Failures (加密機制失效)
• 概念:舊稱「敏感資料外洩(Sensitive Data Exposure)」。主要關注數據在傳輸或儲存時是否遭到妥善加密。
• 例子:網站使用明文(HTTP)傳輸密碼、使用過時的加密演算法(如 MD5、SHA-1),或是金鑰管理不當。
• 概念:舊稱「敏感資料外洩(Sensitive Data Exposure)」。主要關注數據在傳輸或儲存時是否遭到妥善加密。
• 例子:網站使用明文(HTTP)傳輸密碼、使用過時的加密演算法(如 MD5、SHA-1),或是金鑰管理不當。
• (C) Vulnerable and Outdated Components (易受攻擊和過時的元件)
• 概念:開發系統時使用了已知有漏洞或不再維護的第三方套件、庫(Libraries)或框架(Frameworks)。
• 例子:幾年前震驚全球的 Log4j 漏洞(Log4Shell),或是專案中一直使用舊版且未修補漏洞的 PHP/JavaScript 套件。
• (D) Software and Data Integrity Failures (軟體與資料完整性失效)
• 概念:這是 2021 年新增的分類。指程式碼或資料在沒有驗證完整性的情況下,就直接被系統信任並執行。
• 例子:軟體更新時沒有驗證數位簽章(可能被偷換成惡意軟體,即「供應鏈攻擊」),或是反序列化(Deserialization)未經過濾的用戶輸入資料。
0
0
