Aggregator

5w1h思维工具太好用了，作者近几年常用。 本文使用"通义千问"润色，提示词是"风格请和原文保持一致，不要过于书面化，也不要过于口语化，重新润色"。

Security by design then by default.

App隐私合规与代码分析探针实战课程两季已更新完结

12月│月报 谛听工控安全月报上线了，工信部的最新政策，12月发生的多起工控安全事件，谛听团队收集的最新攻击教据......更多安全资讯，请关注“谛听ditecting",每月更新!

部分路由未使用身份验证或对身份验证不严格，以及未对传入内容进行严格校验，导致命令执行。

DEVCORE 創立迄今已逾十年，持續專注於提供主動式資安服務，並致力尋找各種安全風險及漏洞，讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能，我們成立了「戴夫寇爾全國資訊安全獎學金」，2022 年初也開始舉辦首屆實習生計畫，目前為止成果頗豐、超乎預期，第四屆實習生計畫也將於今年 1 月底告一段落。我們很榮幸地宣佈，第五屆實習生計畫即將登場，若您期待加入我們、精進資安技能，煩請詳閱下列資訊後來信報名！

實習內容

本次實習分為 Binary 及 Web 兩個組別，主要內容如下：

• Binary 以研究為主，在與導師確定研究標的後，分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路，找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及寫過往漏洞的 Exploit，理解過去漏洞都出現在哪，體驗真實世界的漏洞都是如何利用。
  • 漏洞挖掘及研究 70 %
  • 1-day 開發 (Exploitation) 30 %
• Web 導師會與學生討論並確定一個以學生的期望為主的實習目標，並在過程輔導成長以完成目標，內容可以是深入研究近年常見新型態漏洞、攻擊手法、開源軟體，或是程式語言生態系的常見弱點，亦或是展現你的技術力以開發與紅隊相關的工具。
  • 漏洞、攻擊手法或開發工具研究 90%
  • 成果報告與準備 10%

公司地點

台北市松山區八德路三段 32 號 13 樓

實習時間

• 2024 年 3 月開始到 2024 年 7 月底，共 5 個月。
• 每週工作兩天，工作時間為 10:00 – 18:00
  • 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
    • 如果居住雙北外可彈性調整(但須每個組別統一)
  • 其餘時間皆為遠端作業

招募對象

• 具有一定程度資安背景的學生，且可每週工作兩天
• 此外並無其他招募限制，歷屆實習生可重複應徵
• 對資格有任何疑慮，歡迎來信詢問

預計招收名額

• Binary 組：2~3 人
• Web 組：2~3 人

薪資待遇

每月新台幣 16,000 元

招募條件資格與流程 實習條件要求 Binary

• 基本逆向工程及除錯能力
  • 能看懂組合語言並瞭解基本 Debugger 使用技巧
• 基本漏洞利用能力
  • 須知道 Stack overflow、ROP 等相關利用技巧
• 基本 Scripting Language 開發能力
  • Python、Ruby
• 具備分析大型 Open Source 專案能力
  • 以 C/C++ 為主
• 具備基礎作業系統知識
  • 例如知道 Virtual Address 與 Physical Address 的概念
• Code Auditing
  • 知道怎樣寫的程式碼會有問題
    • Buffer Overflow
    • Use After free
    • Race Condition
    • …
• 具備研究熱誠，習慣了解技術本質
• 加分但非必要條件
  • CTF 比賽經驗
  • pwnable.tw 成績
  • 樂於分享技術
    • 有公開的技術 blog/slide、Write-ups 或是演講
  • 精通 IDA Pro 或 Ghidra
  • 有寫過 1-day 利用程式
  • 具備下列其中之一經驗
    • Kernel Exploit
    • Windows Exploit
    • Browser Exploit
    • Bug Bounty

Web

• 熟悉 OWASP Web Top 10。
• 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
  • 參考連結：https://portswigger.net/web-security/all-materials
• 理解計算機網路的基本概念。
• 熟悉 Command Line 操作，包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
• 熟悉任一種網頁程式語言（如：PHP、ASP.NET、JSP），具備可以建立完整網頁服務的能力。
• 熟悉任一種 Scripting Language（如：Shell Script、Python、Ruby），並能使用腳本輔以研究。
• 具備除錯能力，能善用 Debugger 追蹤程式流程、能重現並收斂問題。
• 具備可以建置、設定常見網頁伺服器（如：Nginx、Apache）及作業系統（如：Linux）的能力。
• 具備追根究柢的精神。
• 加分但非必要條件
  • 曾經獨立挖掘過 0-day 漏洞。
  • 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
  • 曾經於 CTF 比賽中擔任出題者並建置過題目。
  • 擁有 OSCP 證照或同等能力之證照。

應徵流程

本次甄選一共分為二個階段：

第一階段：書面審查

第一階段為書面審查，會需要審查下列兩個項目

• 履歷內容
• 簡答題答案
  • 題目 1：請提出三個，你印象最深刻或感到有趣、於西元 2021 ~ 2023 年間公開的真實漏洞或攻擊鏈案例，並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
  • 題目 2：實習期間想要研究的主題，請提出三個可能選擇的明確主題，並簡單說明提出的理由或想完成的內容，例如：
    • 研究◯◯開源軟體，找到可 RCE 的重大風險弱點。
    • 研究 AD CS 的攻擊手法，嘗試挖掘新的攻擊可能性或向量。
    • 研究常見的路由器，目標包括：AA-123 路由器、BB-456 無線路由器。
  • 題目 3（應徵 Binary 組需回答）：該程式為一個 Local Server，可透過瀏覽網頁與之互動，該 Server 跑在 Windows 11 的電腦上。
    • 請分析上述所提供的 Server，並利用其中的功能，讓使用者瀏覽網頁後，可直接在 Windows 11 上跳出 calc.exe，另外也請盡量滿足下列條件
      • 不可跳任何警告視窗。
      • 使用者只要瀏覽網頁即可觸發不會有額外操作。
      • 瀏覽器限制為 Chrome 或是 MS Edge
    • 請務必寫下解題過程，並交 write-up，請盡你所能來解題，即使最後沒有成功，也請寫下您所嘗試過的方法及思路，本測驗將會以 write-up 為主要依據。

本階段收件截止時間為 2024/01/28 23:59，我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段，我們會在 10 個工作天內回覆。

第二階段：面試

此階段為 30~120 分鐘（依照組別需求而定，會另行通知）的面試，會有 2~3 位資深夥伴參與，評估您是否具備本次實習所需的技術能力與人格特質。

時間軸

• 2024/01/05 - 2024/01/28 公開招募，書審截止
• 2024/01/29 - 2024/02/22 面試
• 2024/02/26 前回應結果，早面試會早收到結果
• 2024/03/04 第五屆實習計畫於當週開始

報名方式

• 請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
  • 履歷格式請參考範例示意（DOCX、PAGES、PDF）並轉成 PDF。若您有自信，也可以自由發揮最能呈現您能力的履歷。
  • 請於 2024/01/28 23:59 前寄出（如果名額已滿則視情況提早結束）
• 信件標題格式：[應徵] 職位 您的姓名（範例：[應徵] Web 組實習生 王小美）
• 履歷內容請務必控制在三頁以內，至少需包含以下內容：
  • 基本資料
  • 學歷
  • 實習經歷
  • 社群活動經歷
  • 特殊事蹟
  • 過去對於資安的相關研究
  • MBTI 職業性格測試結果（測試網頁）

若有應徵相關問題，請一律使用 Email 聯繫，如造成您的不便請見諒，我們感謝您的來信，並期待您的加入！

The quantum computing era is coming, and it will change everything about how the world connects online. While quantum computing will yield tremendous benefits, it will also create new risks, so it’s essential that we prepare our critical internet infrastructure for what’s to come. That’s why we’re so pleased to share our latest efforts in […]

The post Verisign Provides Open Source Implementation of Merkle Tree Ladder Mode appeared first on Verisign Blog.

将 A-Z 逐一输入到 Google Chrome 的地址栏里，Google Chrome 都会自动补全出哪些域名呢（诶？）

Looking for context you can use to map out your 2024 cybersecurity priorities? 16 CIS experts share their cybersecurity predictions for the year ahead.

过去一年里，大家对当下经济已经进入了一个新的周期产生共识，开始接受这是一种新常态，在未来的日子里，做事情的基本逻辑应该是什么？

清华大学网络与信息安全实验室学术论文分享活动

关于2023 年度总结 前言 看到大家在近期都在忙着写年度总结报告，晚上睡不着，所以心血来潮也想着写下一篇年度总结，来预示着2023悄悄地的落下帷幕。 感想 今年经历了太多的变故，以至于无法言表。 相比于这一年里接触了不少以前从未接触过的事物，虽然部分事情可能是被动式接触，无可厚非的是在经历这么多事

安全人员应该如何更好地跟老板申请2024年预算？在面向管理层申请预算的时候，需要回答3个最本质的问题……

攻击面管理ASM介绍及长亭云图试用记录

博客很久没更新了，2023是艰难的一年。博客最近也更新的很少了，以前多多少少还会保持一个月至少一更新。 现在也并不是懒了，而是确实工作很忙，之前经常有小伙伴来告诉在订阅我的RSS，如果经常写水文对自己和其他人来说并没有什么帮助，二来，觉得如果要写就写一些高质量的文章。但很多0day又不方便放出来。

实在闲就去找个厂纳纳鞋底吧

Get an overview of SnakeYAML deserialization vulnerabilities (CVE-2022-1471) - how it works, why it works, and what it affects.