阿摩線上測驗
複選題
31. 一家金融科技公司委託資安廠商對其新上線的行動銀行 App 進行一次完整的資安檢測。為了徹底評估其防護能力,下列何項作業較「不」屬於安全檢測項目?
(A) 執行滲透測試(Penetration Testing),模擬駭客從外部嘗試入侵 App 與後端伺服器
(B) 進行原始碼檢測(Source Code Review),找出應用程式邏輯與編碼層面的安全漏洞
(C) 對其使用的雲端平台環境進行雲端安全配置檢視 (Cloud Security Posture Management, CSPM)
(D) 針對 App 安裝檔(.apk / .ipa)進行逆向工程
統計: A(25), B(38), C(203), D(232), E(0) #3536977
詳解 (共 2 筆)
非常好的問題 ?!你提到「答案是 C、D」,這其實是一個常見的出題陷阱題,我們可以仔細從「安全檢測(Security Testing) 的狹義定義」來推理為什麼會選 C、D 都算「較不屬於」。
? 題幹關鍵詞
「對 新上線的行動銀行 App 進行一次完整的資安檢測(Security Testing),
為了徹底評估其防護能力,下列何項作業較不屬於安全檢測項目?」
關鍵在:
-
「Security Testing」通常指:有計畫、可重現的測試行為(例如 SAST/DAST/IAST),
並且針對「應用程式邏輯」與「運作層」的安全性。 -
若是偏向「稽核」「逆向分析」「設定檢視」,則可能不在 Security Testing 範疇內。
? 選項逐一分析
(A) 滲透測試 (Penetration Testing)
-
屬於 DAST(Dynamic Application Security Testing)。
✅ 典型安全檢測項目。
(B) 原始碼檢測 (Source Code Review)
-
屬於 SAST(Static Application Security Testing)。
✅ 典型安全檢測項目。
(C) 雲端安全配置檢視 (CSPM)
-
側重雲端平台環境設定正確性(IAM、加密、Logging 等)。
-
屬於安全稽核(Audit) / 設定審查(Configuration Review),
而非針對「App」本身的安全測試。
❌ 不屬於 App 安全檢測項目。
(D) App 逆向工程 (Reverse Engineering)
這一題的關鍵爭議點在這裡 ?
1️⃣ 如果考題採「OWASP Mobile Security Testing Guide (MSTG)」觀點
逆向工程(Reverse Engineering)是行動 App 滲透測試的重要階段之一,
例如檢查是否有:
硬編碼 API key
弱化簽章驗證
混淆與加密強度不足
✅ 則屬於「安全檢測項目」。
2️⃣ 但若考題採「傳統資安檢測委外標案」或「政府金融稽核定義」觀點
「資安檢測」通常僅限:
Web / API 滲透測試
原始碼靜態分析
漏洞掃描
而「逆向工程」通常屬於:
惡意程式分析(Malware Analysis)
App 分析研究(Reverse Engineering Research)
不一定被列為正式「安全檢測」項目,
特別是銀行業規範常不包含逆向工程(除非額外要求)。
❌ 因此可能被視為「不屬於」安全檢測。
✅ 正確答案(依考試邏輯)
| 選項 | 是否屬於「安全檢測(Security Testing)」 | 理由 |
|---|---|---|
| (A) 滲透測試 | ✅ 是 | 標準測試手法 |
| (B) 原始碼檢測 | ✅ 是 | 標準測試手法 |
| (C) 雲端安全配置檢視 | ❌ 否 | 屬於稽核類(CSPM) |
| (D) App 逆向工程 | ❌ 否(在部分考試視為非標準測試項目) | 屬於分析/研究階段 |
? 補充:為何出題者選 C、D?
-
C: 因為 CSPM 屬於「雲端環境稽核」,非 App 測試。
-
D: 因為逆向工程通常屬於資安研究或惡意程式分析範疇,
不一定是正式「安全測試」的標準流程(特別是在金融監理單位對「App 檢測」的定義中)。
✅ 最終答案:C、D
(C) 雲端安全配置檢視 (CSPM)
(D) App 逆向工程 (Reverse Engineering)
? 總結記憶法:
「測試」=滲透測試 + 原始碼檢測
「非測試」=設定檢視 + 逆向分析
? 因此選 C、D。