免費開始練習
司法三等申論題 109年 [檢察事務官電子資訊組] 資通安全

第 一 題

📖 題組:
資料隱碼(SQL Injection)仍是至今常見的網路攻擊,此攻擊包含很多種手法,請回答下列問題:
📝 此題為申論題,共 2 小題

小題 (一)

請說明顛覆邏輯(Subverting Logic)以及盲目注入(Blind Injection)兩種手法的意義。(15分)

思路引導 VIP

看到資料隱碼(SQLi)攻擊手法題,應先回歸其本質:「未適當過濾輸入導致資料與指令混淆」。解題時,請區分兩者特性:「顛覆邏輯」側重於改變查詢語句的布林邏輯(如 OR 1=1)以繞過驗證;「盲目注入」則適用於無錯誤回顯的環境,需透過觀察伺服器回應狀態或時間延遲來推斷資料。答題應涵蓋定義、技術實作原理及實務案例。

🤖
AI 詳解
AI 專屬家教

【破題】 資料隱碼(SQL Injection, SQLi)係指攻擊者透過應用程式的輸入欄位,注入惡意資料庫查詢指令,破壞資通安全核心之機密性(Confidentiality)與完整性(Integrity)。其中,「顛覆邏輯」與「盲目注入」為實務上兩種截然不同之攻擊思維與手法。 【論述】

小題 (二)

參數化查詢(Parameterized Query)是公認防禦 SQL Injection 攻擊的有效方法,請說明其防禦原理。(10分)

思路引導 VIP

看到本題應先點出 SQL Injection 的根本原因是「資料與指令混淆」。接著從『預先編譯(Pre-compilation)』與『資料型態綁定』兩大技術核心,論述參數化查詢如何將使用者輸入嚴格界定為純粹的「資料」而非「可執行指令」,從根本消除注入風險。

🤖
AI 詳解
AI 專屬家教

【破題】 參數化查詢(Parameterized Query)或預編譯語句(Prepared Statement),是防禦資料隱碼(SQL Injection, SQLi)最基礎且有效的技術。其核心概念在於「將 SQL 指令語法與外部輸入資料完全分離」,從根本上消除資料被誤認為執行指令的風險。 【論述】

📝 同份考卷的其他題目

查看 109年[檢察事務官電子資訊組] 資通安全 全題

升級 VIP 解鎖