近三年參與的資安攻防競賽
前言
你的時間在那裡,成就就在那裡。吸引力法則的運作方法是,永遠要談論妳想要的事,不會談論你想避開的事。時時感謝、努力不懈,是我創業五年多來,最常在做的事。新心資安是小微企業,資源不多,當同行都在補習、考照之時,我最常做的事就是花1000塊、1600塊以小博大。
但是就像在冰天雪地裡面,數學家憑著一枝筆也能推導數學,在資安領域裡面,特別適合像我們公司這樣提供資安勞務的公司,我們是資安的傳教士,努力走在資安的前沿,然後為各行各業的先進們培力。
攻防演練,是2023年以來,新增加的一個技能,這是沿續筆者取得了Linux的ITE證照,紮實的學習了Linux後的策略布局,有了Linux和虛擬主機,我們再把辦公室的主機提升到40GB的記憶體,跑Kali已經很夠用。
初始
時間:2023年9月3日
地點:國家資通安全研究院
比賽名稱:112年度網路威脅防禦競賽
性質:防守
心得:從2025年11月回想起來,2023年的這場網路威脅競賽,就像一場夢一樣。很多現在身邊的好朋友,都是這場比賽(和56小時的課程)的同學。各路神仙,像是Peter、Jimmy、志合、ADR老師、寛寛老師、鄭主任、Mars老師、郁志老師、仁甫老師。以及從這些人脈衍生的唐理事長、方丈。這場比賽與其說是資安技術的大觀園,不如說是一個奇妙的旅程,讓我可以用近乎零成本,親炙台灣頂尖資安專家的各種研究成果。
還記得要開課時,我很緊張的跟毛博士借筆記型電腦,因為他的筆電有40GB RAM,我的筆電只有8GB,而上課要用到3個VM才跑的起來。令人感到有趣的,是這個軟體後來對毛博的事業也有幫助。
國家資通安全研究院,在我參加的這一期後,就不再有56小時的班了。而在課程的最後一天,我們是做TRAPA菱鏡的Cyber Range競賽,系統會灌入一段時間的日誌,而我們的工作就是扮演藍隊,找出日誌背後駭客的足跡。60個人參訓,2個人一組,總共有30組。
那時我還不熟Cyber Range,只想著要建立起網路拓撲圖,把系統有那些機器整理出來,再一一的來看日誌。日誌是用Splunk的系統,很強的一套SIEM系統,能夠把Windows主機、郵件主機、Linux主機等不同格式的日誌都收集起來,並且能夠用勾選的方式來查詢。美中不足之處,那時我對介面還不熟,像是Windows主機有分成記憶體、網路、程式等輸出,那時我還不知道,一直找不到答案。
結果就在一片忙亂之中,比賽結束了,志合和我一組,我們解出了3、4個問題。來自公部門的一個團隊,獲得第一名。從這個競賽,我等於得到了技術面的入場券,因為我在大專院校一直是教資管系,很少教資工系,這個課程豐富了我對於「駭客」的想像,我知道自己並不孤單,這是我在這個比賽裡的心得。
時間:20240612-17
平台:Secure Code Warrior
地點:叡揚資訊股份有限公司
性質:防守
心得:中間隔了一年,才有機會再打CTF(Catch The Flag),叡揚資訊是代理Secure Code Warrioru並中文化,這個平台有超過20-30種的程式語言,以OWASP Top 10的常見資安漏洞做為撰寫依據。讓使用者可以很方便的從選項中來選擇想修補的程式碼,並且在試誤中充實自己的安全程式設計功力。這個平台唯一的缺點就是如果練習的結束不錯,想要購買時,它的價格比較貴。
我選擇的程式語言是Php+Mysql。時間有一整個星期,算是相對充裕,所以我就把程式碼一行行存下來研究,避免以偏概全。並且把正確程式的畫面抓下來研究。我必須說,直到1年後的現在,我對於php在十大弱點的掌握度還不太夠,但是還好有Copilot、ChatGPT、GEMINI等AI工具的協助,我現在星期日都固定抽時間來撰寫一本php+mysql的安全程式設計的書。2025年OWASP的TOP 10清單有變化,需要再補強。而我也在修修改改中,一點點用visual stuido code和AI,建立自己的資安書和資安筆記。
其實Secure Code Warriors真的很適合有一整個團隊的資安公司發展、代理,很樂見國內有這樣好的產品。而我的書預計2026年會編目上市,屆時希望我的安全程式設計能力有所進展。
沒有留言:
發佈留言
歡迎留下寶貴意見