Aggregator

RMI介绍 RMI (Remote Method Invocation) 远程方法调用，就是可以使远程函数调用本地函数一样方便，因此这种设计很容易和RPC(Remote Procedure Calls)搞混。区别就在于RMI是Java中的远程方法调用，传递的是一个完整的对象，对象中又包含了需要的参数

admin-神风

流程设计与优化

放之

1 year 11 months ago

看看如何通过系统思考来实现安全流程的设计

Meta Keywords：是什么、为什么不

Sukka's Blog

1 year 11 months ago

形如的 Meta Keywords 是 Meta 标签的一种，仅存在于 HTML 代码中、不会在浏览器中展示。过去，Meta Keywords 标签被用于告诉搜索引擎爬虫关于网页的信息。但是，现在搜索引擎还尊重 Meta Keywords 么？Meta Keywords 是否仍然是 SEO 的最佳实践？

Sukka

DEVCORE 創立迄今已逾十年，持續專注於提供主動式資安服務，並致力尋找各種安全風險及漏洞，讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能，我們成立了「戴夫寇爾全國資訊安全獎學金」，2022 年初也開始舉辦首屆實習生計畫，目前為止成果頗豐、超乎預期，第二屆實習生計畫也將於今年 2 月底告一段落。我們很榮幸地宣佈，第三屆實習生計畫即將登場，若您期待加入我們、精進資安技能，煩請詳閱下列資訊後來信報名！

實習內容

本次實習分為 Binary 及 Web 兩個組別，主要內容如下：

Binary 以研究為主，在與導師確定研究標的後，分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路，找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及寫過往漏洞的 Exploit，理解過去漏洞都出現在哪，體驗真實世界的漏洞都是如何利用。
- 漏洞挖掘及研究 70 %
- 1-day 開發 (Exploitation)
Web 主要內容為研究過往漏洞與近年常見新型態漏洞、攻擊手法，需要製作投影片介紹成果並建置可供他人重現弱點的模擬測試環境 (Lab)，另可能需要撰寫或修改可利用攻擊程式進行弱點驗證。
- 漏洞及攻擊手法研究 70%
- 建置 Lab 30%

公司地點

台北市松山區八德路三段 32 號 13 樓

實習時間

2023 年 3 月開始到 2023 年 7 月底，共 5 個月。
每週工作兩天，工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
  - 如果居住雙北外可彈性調整(但須每個組別統一)
- 其餘時間皆為遠端作業

招募對象

大專院校大三（含）以上具有一定程度資安背景的學生

預計招收名額

Binary 組：2~3 人
Web 組：2~3 人

薪資待遇

每月新台幣 16,000 元

招募條件資格與流程實習條件要求 Binary

基本逆向工程及除錯能力
- 能看懂組合語言並瞭解基本 Debugger 使用技巧
基本漏洞利用能力
- 須知道 Stack overflow、ROP 等相關利用技巧
基本 Scripting Language 開發能力
- Python、Ruby
具備分析大型 Open Source 專案能力
- 以 C/C++ 為主
具備基礎作業系統知識
- 例如知道 Virtual Address 與 Physical Address 的概念
Code Auditing
- 知道怎樣寫的程式碼會有問題
  - Buffer Overflow
  - Use After free
  - Race Condition
  - …
具備研究熱誠，習慣了解技術本質
加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 樂於分享技術
  - 有公開的技術 blog/slide、Write-ups 或是演講
- 精通 IDA Pro 或 Ghidra
- 有寫過 1-day 利用程式
- 具備下列其中之一經驗
  - Kernel Exploit
  - Windows Exploit
  - Browser Exploit
  - Bug Bounty

Web

熟悉 OWASP Web Top 10。
理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
- 參考連結：https://portswigger.net/web-security/all-materials
理解計算機網路的基本概念。
熟悉 Command Line 操作，包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
熟悉任一種網頁程式語言（如：PHP、ASP.NET、JSP），具備可以建立完整網頁服務的能力。
熟悉任一種 Scripting Language（如：Shell Script、Python、Ruby），並能使用腳本輔以研究。
具備除錯能力，能善用 Debugger 追蹤程式流程、能重現並收斂問題。
具備可以建置、設定常見網頁伺服器（如：Nginx、Apache）及作業系統（如：Linux）的能力。
具備追根究柢的精神。
加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞。
- 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
- 曾經於 CTF 比賽中擔任出題者並建置過題目。
- 擁有 OSCP 證照或同等能力之證照。

應徵流程

本次甄選一共分為三個階段：

第一階段：書面審查

第一階段為書面審查，會需要審查下列兩個項目

書面審查
簡答題及實作題答案
- 應徵 Binary 實習生需額外在履歷附上下述問題答案
  - 簡答題
    - 請提出三個，你印象最深刻或感到有趣、於西元 2020 ~ 2023 年間公開的真實漏洞或攻擊鏈案例，並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。
  - 實作題目
    - 題目檔案
      - 為一個互動式的 Server，可透過網路連線與之互動。
    - 請分析上述所提供的 Server，並利用其中的漏洞在 Windows 11 上跳出 calc.exe。
      - 漏洞可能有很多，不一定每個都可以利用。
    - 請務必寫下解題過程及如何去分析這個 Server，並交 write-up，請盡你所能來解題，即使最後沒有成功，也請寫下您所嘗試過的方法及思路，本測驗將會以 write-up 為主要依據。
- 應徵 Web 實習生需額外在履歷附上下述問題答案
  - 簡答題
    - 請提出三個，你印象最深刻或感到有趣、於西元 2020 ~ 2023 年間公開的真實漏洞或攻擊鏈案例，並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響。

本階段收件截止時間為 2023/2/3 10:00，我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段，我們會在七個工作天內回覆。

第二階段：能力測驗

Binary
- 無
Web
- 第二階段會根據您的履歷或是任何可證明具備足夠 Web 滲透相關技能的資料來決定是否需要另外做題目，如果未達標準會另外準備靶機測驗，待我們收到解題過程後，將會根據您的狀況決定是否可以進入第三階段。
- 本階段收件時間為 2023/2/5 23:59，建議提早遞交履歷，可以提前作答。

第三階段：面試

此階段為 1~2 小時的面試，會有 2~3 位資深夥伴參與，評估您是否具備本次實習所需的技術能力與人格特質。

報名方式

請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
- 履歷格式請參考範例示意（DOCX、PAGES、PDF）並轉成 PDF。若您有自信，也可以自由發揮最能呈現您能力的履歷。
- 請於 2023/02/03 10:00 前寄出（如果名額已滿則視情況提早結束）
信件標題格式：[應徵] 職位您的姓名（範例：[應徵] Web 組實習生王小美）
履歷內容請務必控制在三頁以內，至少需包含以下內容：
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- 對於這份實習的期望
- MBTI 職業性格測試結果（測試網頁）