弱點掃瞄技術/解答
弱點掃瞄步驟有下面數個步驟,請選擇正確的順序?
(1) 進行弱點、修補與修正 (2)設定弱點掃瞄工具 (3)弱點掃瞄前準備作業 (4) 執行弱點掃瞄作業(5)進行弱點掃瞄複檢作業(6)分析弱點掃瞄結果
(A) (3) (2) (6) (4) (1) (5)
(B) (3) (4) (2) (1) (6) (5)
(C) (3) (2) (4) (1) (6) (5)
√ (D) (3) (2) (4) (6) (1) (5)
下列有關於弱點的敘述何者不正確?
(A) 弱點是一種由於程式撰寫的錯誤不當或組態設定不當而導致可能引起各種安全性問題的瑕疵。
(B) 弱點存在與曝露可能被有心人士利用作為入侵途徑。
√ (C)只要定期實施弱點掃瞄就可以避免被入侵。
(D) 根據統計,每年弱點發現公佈的弱點數仍然居高不下。
下列那一項並非弱點誤報 (false positive)的有效處理方法?
(A) 修正造成誤報的原因或環境
√ (B) 刪除誤報的報表,不作任何處置
(C) 修正造成誤報的測試項目
(D) 取消會造成誤報的測試項目
下列有關弱點掃瞄的說明何者為正確的描述。
√ (A) 恣意掃瞄網路上他人的系統,可能會牽涉到合法性問題
√ (B) 弱點掃瞄可能會妨害某些設備的正常運作,應排除這些網路設備或關閉不適用的網路掃瞄模組。
(C) 唯有進行有破壞性質的弱點掃描才能夠真出正找出所有弱點
√ (D) 應降低掃瞄產生誤報的可能性
下列有關弱點掃瞄的使用何者為正確的描述?
√ (A) 有些弱點的測試無法被程式化,只能依據其他的外在特徵來猜測是否有此弱點。
(B) 弱點掃瞄能夠針對任何已知及未知的弱點進行測試。
√ (C) 網路的架構與部署狀況會影響到掃瞄的正確性。
√ (D) 弱點掃瞄軟體不僅可以偵測主機是否存在某些弱點,也可以偵測該主機是曾經遭受何種攻擊。
下面那些描述為正確的弱點觀念?
(A) 系統通過了弱點掃瞄作業就可確保系統的安全性,不需其它額外的安全性機制
√ (B) 定期弱點掃瞄為必要的資安工作
(C) 好的弱點掃瞄工作可不須要更新即可偵測最新的弱點
√ (D) 弱點掃瞄只能當作是一個提升系統安全及降低入侵風險的技術之一
選出下列有關於滲透測試與弱點掃瞄的描述為正確的選項。
√ (A) 弱點掃瞄乃是利用自動化的掃瞄工具來檢查網路系統的安全弱點
(B) 弱點掃瞄乃是模擬駭客行為模式,嘗試滲透入侵您的網路系統,藉以發現目前系統的安全弱點與可能的入侵途徑
√ (C) 弱點掃瞄作業通常可以自動化
√ (D) 滲透測試通常需要高度專業人員
對於檢視與分析弱點掃瞄後的報表,何項敘述為真?
(A) 檢視報表時首先需要擬訂修正計劃
√ (B) 針對發現的弱點需判斷並確認是否為誤報 (false positive)
√ (C) 評估發現的弱點,其潛在衝擊與風險程度
√ (D) 特別留意並分析高風險性的弱點及主機
針對 nessus 的安裝與設定,下列何者為正確敘述?
(A) 安裝nessus後需使用nessus-useradd指令來新增nessus使用者
√ (B) 安裝nessus後需使用nessus-mkcert指令來建立CA與創造 nessus SSL 憑證
(C) 啟動nessus 伺服服務的指令為 #nessus –D
√ (D) nessus 用戶端軟體主要是作為管理員前端的操作平台,用來設定執行掃瞄作業並檢視報告,擁有X視窗與微軟視窗二個版本