moea_joint_essay 114年 [資訊] 資訊管理、程式設計

第二題

📖 題組：
請說明下列網站攻擊的行為原理及如何防禦：（3 題，每題 5 分，共 15 分）

📝 此題為申論題，共 3 小題

小題 (二)

Cross-Site Scripting, XSS

說明 XSS 為注入惡意腳本至受害者瀏覽器執行，盜取 Cookie 或重定向。防禦為輸出編碼、輸入驗證及設定 HttpOnly 等。

🤖

AI 詳解

AI 專屬家教

行為原理：XSS (跨站腳本攻擊) 允許攻擊者將惡意的 JavaScript 或其他客戶端腳本注入到其他使用者瀏覽的網頁中。當受害者載入該網頁時，惡意腳本會在受害者的瀏覽器環境內執行，攻擊者藉此竊取 Session Cookie、操作 DOM 或進行網路釣魚行為。
如何防禦：
- 輸出編碼 (Output Encoding/Escaping)：在將任何不受信任的資料輸出到 HTML、屬性、JavaScript 或 CSS 環境前，進行 HTML 實體編碼 (Entity Encoding)。

SQL Injection

說明攻擊者將惡意 SQL 語法注入輸入欄位，使資料庫執行非預期指令。防禦方式為使用參數化查詢 (Prepared Statements)。

🤖

AI 詳解

AI 專屬家教

行為原理：SQL Injection (資料庫注入攻擊) 發生於應用程式未能妥善驗證或過濾使用者輸入時，攻擊者將惡意 SQL 指令片段插入至輸入欄位中，使得後端資料庫將這段字串視為合法指令並執行，進而造成機敏資料外洩、竄改資料或繞過登入驗證。
如何防禦：
- 最有效的作法是全面使用 參數化查詢 (Parameterized Queries) / Prepared Statements，使資料庫能嚴格區分「程式碼 (SQL指令)」與「資料 (使用者輸入)」。

CSRF

說明 CSRF 係利用使用者已登入的身分與瀏覽器自動帶 Cookie 的特性，誘使發出惡意請求。防禦為 Anti-CSRF Token 及 SameSite Cookie。

🤖

AI 詳解

AI 專屬家教

行為原理：CSRF (跨站請求偽造) 利用了瀏覽器自動攜帶特定網域 Cookie 的特性。攻擊者誘使已經登入目標網站的受害者（例如點擊惡意連結或載入含有隱藏表單的惡意網頁），在受害者不知情的情況下，以其身分向目標網站送出修改資料、轉帳等狀態變更的請求。
如何防禦：
- 加入 Anti-CSRF Token：伺服器在表單內放入一組隨機且不可預測的 Token，提交時一併傳回伺服器驗證。由於攻擊者的網站無法讀取到該 Token，便無法偽造合法請求。

查看更多「[資訊] 資訊管理、程式設計」的主題分類考古題