0%

資安學習歷程

學習資安 —— 始於偶然借到的一本書

國中時在學校圖書館借的一本書「Web 2.0 駭客技術揭密」是我在資訊領域的啟蒙老師
書中涵蓋大大小小Web相關的攻擊,闡述相關攻擊發生的原因、並以例子作為佐證

  國中三年級開始,我接觸了資訊安全的領域,從基礎開始,了解每一種漏洞形成的原因。透過不斷地學習,慢慢了解資安漏洞對於企業、社會的危害,並下定決心鑽研資安知識。

漏洞回報紀錄

國內知名英語補習班線上評量漏洞

  在國中時,一個偶然的機會,發現了佳音英語線上評量系統的XSS漏洞,該補習班為國內大間英文補習班,若漏洞遭利用,會影響全台眾多學生,秉持著白帽駭客的精神,我立即撰寫了相關報告,並向Hitcon
Zeroday回報了此一漏洞。
  很快地,資訊部的工程師與我在Hitcon Zeroday上聯絡,並與我討論修復的方法,我也藉著我所學、我所知的告訴他相關漏洞細節即可能解決方法,漏洞迅速地解決了。
佳音漏洞感謝狀

全國中小學Xoops校網外掛漏洞

  國三的時候,當初是想說為什麼每一個校網都有相似的網址,因而去查詢,從此了解到了開源程式。而也是因為查詢,我去閱讀了許許多多tad老師寫的程式碼以後,發現了當中不乏相關權限、邏輯所造成的漏洞,發現以後,立即通報學校的資訊組,並請其代為跟Tad老師聯絡,修復相關的漏洞。
Xoops漏洞

疫情期間相關學習平台漏洞

  疫情期間,相關的學習平台蓬勃發展,但相關的資安問題似乎沒有管控好。期間,我發現了包括國內出版社、補習班學習平台相關的漏洞,立即通報給Hitcon Zeroday。

礙於相關漏洞尚未公布,無法透漏相關細節
學習平台漏洞

資安學術研究

  在高二的寒假,我與同學一同製作了一關於資安的科展研究,毅然決然地選擇了資安領域,而非現今資訊科顯學 ——
人工智慧領域,是因為我們認為:資安相關知識是近年來十分重要的一個區塊,維護好資安,才能讓每個創造出來的程式更加安全,攻擊者沒有可利用的餘地。
  我們設計了一套系統,透過將資料分散儲存、加密、等綜合多種方法,確保資料的安全性,並且讓存取速度不會因此降低太多,同時我們也將設計了簡易的API,始得存取該套系統可以跟以往其他儲存方式一樣方便。
  在南區科展,我們獲得了佳作的成績,雖然未取得全國賽的資格,但在這個過程中仍學習到了許多新的知識。
科展佳作
  我們後來將該篇研究投稿至ITIA資訊技術研討會,並成功被錄取,並收錄於該研討會論文集中。
ITIA
ITIA合照

CTF競賽

  升上高中以後,透過學長們接觸到了CTF競賽,並且勇於嘗試,參與相關的競賽。

金盾獎

  參加金盾獎是全新的體驗,以往是被動發現漏洞,無意間發現的,但在CTF中卻需要主動去探索他,抽絲剝繭地去找出題目中的Flag,這種比賽方式除了考驗本身資安能力以外,更需要參賽者動動腦筋才能將答案解出。
  第一次的嘗試,雖然最後沒有取得名次,但是進到決賽了,在過程中也學習到了不少。
金盾獎

T貓盃

  我與隊友一同參與了T貓盃,並獲得特優的成績
T貓盃