高考申論題
114年
[資通安全] 資通安全防護技術
第 一 題
📖 題組:
三、請說明以下的經典資安攻擊的實行方法,並舉例攻擊成功後可達到的效果。 (一)路徑遍歷(Path Traversal)攻擊(5 分) (二)跨站腳本攻擊(XSS)(10 分) (三)越界讀取(Out-of-bounds Read)攻擊(10 分)
三、請說明以下的經典資安攻擊的實行方法,並舉例攻擊成功後可達到的效果。 (一)路徑遍歷(Path Traversal)攻擊(5 分) (二)跨站腳本攻擊(XSS)(10 分) (三)越界讀取(Out-of-bounds Read)攻擊(10 分)
📝 此題為申論題,共 3 小題
小題 (一)
路徑遍歷(Path Traversal)攻擊(5 分)
思路引導 VIP
看到「路徑遍歷(Path Traversal)」應直覺聯想到目錄跳脫(Directory Traversal)與「../」字元注入。解題時須明確拆分「實行方法(如何利用輸入驗證漏洞跳脫限制)」與「攻擊效果(讀取根目錄外的敏感檔案)」,並舉出經典的作業系統設定檔(如 /etc/passwd)作為實例以獲取完整分數。
小題 (二)
跨站腳本攻擊(XSS)(10 分)
思路引導 VIP
看到 XSS 攻擊,首先應點出其核心機制為『惡意腳本注入客戶端瀏覽器執行』。接著以技術分類(儲存型、反射型、DOM-based)說明其實行方法,最後條列式列舉攻擊成功後的具體危害(如竊取 Session、釣魚表單等),並使用專業資安術語作答。
小題 (三)
越界讀取(Out-of-bounds Read)攻擊(10 分)
思路引導 VIP
看到越界讀取(Out-of-bounds Read),應聯想到記憶體安全漏洞(CWE-125),特別是緩衝區邊界檢查缺失。解題時需依序說明其「觸發機制(如何操縱參數讀取超出範圍的記憶體)」以及「後果(資訊洩漏、DoS或繞過 ASLR)」,並強烈建議引用著名的 Heartbleed 漏洞作為實務案例以展示實務專業。
經典資安漏洞分析
💡 釐清輸入驗證、邊界檢查與記憶體存取之資安風險與影響。
| 比較維度 | Web應用漏洞 (XSS/Traversal) | VS | 記憶體漏洞 (OOB Read) |
|---|---|---|---|
| 攻擊目標 | Web 伺服器檔案或用戶端瀏覽器 | — | 系統記憶體資料或變數內容 |
| 核心成因 | 未對使用者輸入字元進行過濾 | — | 程式對緩衝區邊界檢查失效 |
| 損害後果 | 權限劫持、讀取敏感系統設定 | — | 機敏資訊外洩、系統崩潰或洩露 |
💬Web 攻擊著重於輸入過濾邏輯,記憶體攻擊則專注於指標與邊界管理。
