杂七杂八问题篇

倒数第二篇~

来个不分类的杂七杂八问题篇，
有些问题，不知道该怎麽分类，
而有些分类，这次没机会写到的，或是无法凑成一篇的，
也都会零落在这一篇的内容当中。
这也是最後一篇会有与技术相关的了～

满多遗珠之憾，这次没有时间写到，而且可以写成一篇的，
像是针对AD的安全与攻击、IoT物联网资安、本来有预计要风险管理一篇的，
还有资料库的安全、实体机房的安全、CISSP的内容也是一大堆XD

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.FTP 的 Active mode 和 Passive mode 有甚麽差异？

2.甚麽是Rainbow Table，为何要使用Rainbow Table？

通常是用来破解Hash加密过後的Hash值，Rainbow Table就是一个预先算好的Hash Table，是以空间换取时间的破解密码方式。

3.今天有一台 Windows 作业系统的主机，但忘记了使用者的登入密码，请问有办法可以在不重灌的情况下进入该帐户系统吗？如果可以的话，你会怎麽做？

可以。其他系统来开机，将Windows主机下的SAM以及system档案拉出来，利用samdump2尝试破解密码。或者是直接利用chntpw改密码，更简单。

4.如果你今天想要在网路上尽可能的匿名匿踪，你会用甚麽方式？

利用Linux-based的VM，然後加上TOR与Proxychain。

5.使用 Docker 可能会存在甚麽样的安全性问题？

可参考:
https://www.ithome.com.tw/news/113303

6.如果使用 nslookup 去解析一个 Domain，却不一定得到同样的回应，可能是甚麽情况？

7.甚麽是ROP攻击(Return-oriented programming)？

8.DEP和ASLR两者皆为避免恶意程序码的防御机制，可以描述一下这两种技术原理，以及他们如何达到防御的效果吗？你是否还有听过或知道其他Buffer Overflow防御技术？

9.你听过白箱加密吗？描述一下其原理及用途。

10.为什麽需要风险管理？

11.描述一下风险管理的流程？

12.定量与定性分析的差异？

13.针对风险的处理方式有哪些？

规避风险、修补风险、转移风险、接受风险。

14.你知道甚麽全磁碟加密的功能或工具吗？

Windows内建有BitLocker，如果是Mac OS可以用FileVault，Linux预设可以使用LUKS加密标准。

15.甚麽是蓝绿部署？

16.甚麽是单一签入 (Single Sign-On, SOO)？

17.甚麽是DevSecOps？甚麽又是SecDevOps？比较两者的区别。

18.甚麽是SSDLC？

SDLC是软件生命周期，是定义软件开发流程的每个阶段与顺序。而SSDLC是安全软件生命周期，在软件的初期开发与设计，就重视安全的要求。

19.甚麽是DNS Rebinding攻击？

20.NFC与RFID有甚麽区别，可能会存在甚麽样的安全风险？

今天题目大部分没有回答，主要原因都是我还想不到甚麽好答案啦XD
为了避免误人子弟，就写题目而已罗！
大家可以多多思考，找找答案，找到属於自己的最合适答案。

若有要补充也都欢迎留言