考試就是漫長的付出，短暫的收獲，和失去的痛苦。  (2017/1/6)

Q1. Ethical Hacker 在 hack 的時候, 發現漏洞,  

1. 用 Chosen Cipher 攻擊 , 寄 mail 給 system administrator
2. xxx
3. xxx
4.  leave remote console

Q2. CEO 的 bluetooth 被 hack

1. bluesnarfing
2. bluesxxx
3. bluedump
4. bluejacking

Q3. physical access control  (拖拉題)

    CCTV

    notice

    Fense .

    Guard

    xxxxx

    Deter

    Detect

    Deny

    xxxxx

    xxxxx

 Q4. Packet filtering 是 L3, L4 的事

 Q5. Security Assessment (一大堆)

 Q6. SDLC 最後一個步驟是?

 Q˙7. SDLC 

 Q8. DRP 的順序

 Q9. Twaxxxx attack

 Q10. WEP 的主要弱點是什麼

 Q11. PPP, chap, pptp, L2TP replacement

 Q.12 Saml 最容易遭到mitm 攻擊

Q13. 拖拉題 

• Deguss
• santinize

Q 14. Change Management

Q15.  組題 在醫院 , 用RFID監控 nurse 的位置

不是監控病人的位置?

nurse

Q16. Incident response 作 walkthrough test 要看什麼 ?

  1. 出 event ..

  2. xxx

  3. xxx

  4. xxx

 Q. 17 identity management life cycle

 Q.18 Audit framework

Q19/ Database security

Polyinstantiation 考三題

Q.20 確保 Log Integrity 

    我答用 MD 

Q21. ecommerce , security profesional 被叫去要去辨認 DDoS 攻擊

      Syc flood flood

•       1. 看 loadbalancer
  • 2. 看 web Server CPU usage
  • 3. xxxxx
  • 4. 看對外頻寬
  • 
    

      UDP flooding

•       1. 看 loadbalancer
  • 2. 看 web Server CPU usage
  • 3. xxxxx
  • 4. 看對外頻寬
• 
  

Q.22  你是被金控公司雇用的CISSP, 但是你老闆買一個又貴又爛的資安機制, 有鑑於 CISSP ethic code 

      你要怎麼回應這件事 ?

•       1. 悶頭接受
  • 2. xxxx
  • 3. 林背是CISSP, 告訴公司該怎麼作是比較妥當的 (該說的我都說了, 到時出事別怪我, 畫押)
  • 4. xxxx
  • 
    

      續上題, 如果還是悶頭接受非買不可, 那你違反了 ethic code 的那一條 ?

•       1.
  • 2. 第二條, 對企業盡責? 
  • Act honorably, honestly, justly, responsibly, and legally.) 注意是responsibly（被動的）
  • 3.
  • 4.
• 參考資料
• Code of Ethics Preamble:   
• The safety and welfare of society and the common good, duty to our principles, and to each other, requires that we adhere, and be seen to adhere, to the highest ethical standards of behavior.
• Therefore, strict adherence to this Code is a condition of certification.
• Code of Ethics Canons:   
• Protect society, the common good, necessary public trust and confidence, and the infrastructure.
• Act honorably, honestly, justly, responsibly, and legally.
• Provide diligent and competent service to principles.
• Advance and protect the profession.

Q23. RAID5 是 確保 C.I.A 的哪一條 ?

•  1. Integrity (完整性)?

Q.24. TLS / SSL / SSH 

Q.25 SSL / TLS VPN

Q. 26. 公司非用 on-premise + Cloud 架構不可, identity management 這一段要怎樣做 ?

• 1. SSO
• 2. xxx
• 3. xxx
• 4. xxx

Q.27 Proxy firewall 是屬於OSI 哪一層 ?

Q.28  Cold site 的定義 ?

Q29. Policy / Standard / Process ?

Q.30 第三方稽核的最大優點 (這題我會阿姐我隨便你)

• 1. Objectxxxx
• 2. xxxxx
• 3. Exxxxxx
• 4. Sujetxxxx
• 客觀，公正性

Q.31  Change Management 有一堆

Q.32 CBK Domain 6 最後面 有關Audit 的部分有出3題以上

Q.33 CC的缺點 

Q. 34 手機上如何防 malicious code ?

sandbox?

Q.35 Code Sign 的不保證 

• 1. xxx
• 2.xxx
• 3.xxx
• 4.  ... trustworthness

Q.36 TradeMark & Copyright

Q.37 how to protect physical Security 

• 1.  guard
• 2. 
• 3. card reader
• 4.

Q. 38 PCI-DSS 禁止儲存 CCV

• ＣＶＶ？

Q. 39 VOIP 攻擊哪一個是針對電話的 ?

Q.40

• 
  
• 不是很理解這篇跟 LASS 有什麼關係，或許是誤植。麻煩刪除，謝謝