Become A Security Master

 請同學
 不要惡意攻擊他人資訊系統
 若有發現他人資訊系統漏洞，請務必通知並協
助修復

 由交大Cyber Security Club組織的資安技術團隊
 成員包含各校學生
 交大，清大，中央，中原，成大．．．
 歡迎大家一起參與
 活動形式
 暑期訓練
 資安競賽參與及事後討論
 教學及技術分享
 挖學校網站漏洞並通報

 簡介並分享學習資源，幫助大家未來自行
學習
 資安技術太多太深，我們也沒辦法全部弄
懂。需要知道怎麼自學
 未來有機會可以多多交流，分享技術研究

 快速演進
 任何新技術，都可能有資安方面的問題
 資安研究需要快速瞭解吸收新知
 與系統高度相關
 資安技術無法單獨存在，皆須依賴所針對的系統，如：網站，機
器
 資安研究需要精通所針對的系統
 木桶理論
 系統安全性取決於安全層級最弱的一環
 資安研究員需要全面性分析系統安全性
 破壞性思維
 攻擊者思維方式與程式設計師不同
 資安研究員需要瞭解攻擊者的手法

 系統化學習
 課程幫助你快速了解一門學問
 讀書讓你有系統的看見一門學科的全貌
 深入學習
 新聞及技術文章讓你初步接觸最新的研究發展
 論文深入探討最新的研究
 實作技術練習
 練習讓你真正了解體會這門學科
 競賽提升你的程度，讓你有機會突破自己的極限

 Basic Course
 Programming in C
 Assembly
 Operating System
 Network
 Web Application
 NA/SA
 其他
 密碼理論
 橢圓曲線密碼學
 資訊隱藏學
 Security-realted
 程式安全(台大、交大、台科、
中央)
 電腦安全概論
 網路安全
▪ Give you overall concept, and
funny/advanced project
 電腦安全實務
 網路安全實務-攻擊與防禦
▪ More about technique and
practice
 軟體測試（黃世昆教授，資訊
中心開課）
▪ Most security is due to software
bug, testing can help you to
discover some vulnerabilities
 軟體除錯

 黃世昆教授
 https://www.facebook.com/groups/softwaretestin
g.nctu/

 黃世昆教授
 https://www.facebook.com/groups/debugging.nct
u/

 交大黃世昆老師、台大蕭旭君老師、台科
大鄭欣明老師
 https://www.facebook.com/groups/sp.nctu/?multi
_permalinks=1832325603649967&notif_t=group_
activity&notif_id=1485221187559416

 中央大學網路攻防課程
 許富皓教授

 http://hackercollege.nctu.edu.tw/
 基礎課程：適合一般開發人員或網管
 基本軟體工程
 程式安全：偏重如何撰寫安全程式
 系統安全
 軟體除錯
 軟體測試
 密碼學
 網路攻防
 實務課程：適合企業資安工作人員
 企業滲透測試
 企業資安事件應變
 專業課程：適合資深資安研究員
 漏洞研究
 惡意程式分析

 Coursera
 University of London - Malicious Software and its
Underground Economy:Two Sides to Every Story
 University of Maryland -

 RPISEC 開的課程
 對各種exploit手法介紹
 不會太難，並提供許多練習範例
 http://security.cs.rpi.edu/courses/binexp-
spring2015/

 https://bamboofox.github.io/
 上課講義及錄影
 CTF Writeup

 http://www.utdallas.edu/~zxl111930/fall2011.html
 http://www.utdallas.edu/~zxl111930/spring2012.html
 http://www.utdallas.edu/~zhiqiang.lin/spring2012.html
 http://www.cs.fsu.edu/~redwood/OffensiveComputerSecu
rity/lectures.html
 http://lcs3.syr.edu/faculty/yin/teaching/CIS700-sp12/
 http://www.cs.berkeley.edu/~daw/teaching/cs261-
f11/schedule.html
 http://www.cs.berkeley.edu/~dawnsong/teaching/f12-
cs161/syllabus.html
 http://www.cs.virginia.edu/~cs351-dada/index.html
 http://users.ece.cmu.edu/~dbrumley/courses/18739c-
s11/schedule.html
 https://sites.google.com/site/bletchleypark2/misc

 网络攻防技术与实践
 介紹北京清華大學網路
攻防課程
▪ 藍蓮花團隊
 相當多實務範例
 第一章居然在介紹駭客
電影…
 Hacking Exposed
 網路攻防的經典
 廣泛介紹攻擊的各個流
程
 會不定期推出新版，並
加上新的內容，目前出
到第七版

 The Hacker Playbook 2:
Practical GuideTo
PenetrationTesting

 加密與解密
 逆向工程入門書籍
 涵蓋不同語言平台的處
理
 聚焦在軟體保護，軟體
破解
 Reversing: Secrets of
Reverse Engineering
 經典書籍
 入門導向

逆向工程核心原理
 很深入的說了逆向的各種
技術
 韓國人寫的

 Practical Malware Analysis: The Hands-On
Guide to Dissecting Malicious Software
 惡意程式分析經典

0 DAY 安全
 看雪團隊出的～
 很深入地說明逆向工程，
漏洞分析相關課題
 適合對黑系統比較有興趣
的同學
HACKING:THE ART OF
EXPLOITATION
 針對Linux系統的Exploit
 也是經典書

 網站入侵與腳本攻防
修練
 Web安全基礎


 Web 2.0 駭客技術揭密
 比較深入的書
 網路竟然這麼危險
 深入系統的介紹網路安
全
 這決不是科普書，他相
當硬

 有很多網路上的社群可以加入
 HITCON
▪ https://www.facebook.com/HITCON?fref=ts
 BambooFox
▪ https://www.facebook.com/groups/bamboofox
 交大網路安全策進會
▪ https://www.facebook.com/NCTUCSC
 TDOH
▪ https://www.facebook.com/groups/TDOHacker/?fref=ts
 網路攻防戰
▪ https://www.facebook.com/netwargame?fref=ts
 The Honeynet ProjectTaiwan Chapter
▪ https://www.facebook.com/groups/honeynet/?fref=ts

 Freebuf
 http://www.freebuf.com/
 Exp.tw
 http://exp.tw/
 看雪論壇
 http://www.pediy.com/
 網路安全攻防研究室
 http://www.91ri.org/
 Exploit-DB
 Http://www.exploit-db.com/
 Bletchley park
 自己寫的，偷偷推薦
 https://sites.google.com/site/
bletchleypark2/
 CTF
 http://ddaa.tw
 http://blog.orange.tw
 http://www.jeffxx.com
 http://217.logdown.com
 http://angelboy.logdown.com
 https://bamboofox.torchpad.
com/

 Train.cs
 http://train.cs.nctu.edu.tw
▪ 自家人的網站，當然要支持
▪ 以pwned題目為主，題目難易皆有，推薦練習
 Binary Exploit – 應該不容易
 https://pwnable.tw/
▪ 2017 新開的
 http://pwnable.kr/
 bright-shadows
 http://www.bright-shadows.net/
 題目數量多樣，但也是有點偏舊

 有很多我沒玩過，大家可以一起玩玩看
 http://hax.tor.hu/welcome/
 http://www.smashthestack.org/
 http://overthewire.org/wargames/
 http://exploit-exercises.com/
 有人整理了list
 http://captf.com/practice-ctf/

 分成不同種類的題型，每題有固定分數，解完
題可拿到分數
 基本盤，大部份比賽皆是這種形式。可以透過
網路參與比賽。
 通常題型會有 Pwn, Reverse,Web, Forensic, …
 以最終積分決定排名

初學取向
 Backdoor
 CSAW Qualification
 ASIS
深入取向
 DEFCON
 PlaidCTF
 最強PPP組織的比賽
 CodeGate
 韓國
 SECCON
 日本
 PHD Qals

 每隊會有相同的服務及機器配置，並具有
若干漏洞
 參賽者必須攻擊別隊的服務，並保持自己
服務正常運作及不被攻下
 進入其他隊伍機器，並取得Flag。
 服務被入侵，或服務出問題，會被扣分。鎖扣
分數加到其他隊伍

 需要良好的網路支援，因此大部份需要現
場參與
 能參與這類比賽的機會較少，請多多把握
 策略使用上較有彈性
 需要以下技能
 漏洞挖掘，修補
 流量分析
 系統管理，後門

 iCTF
 Google + 考古題大賽
 RuCTF
 CTCTF
 交大網路安全期末
 Defcon Final
 我們團隊的最終目標
 https://www.youtube.co
m/watch?t=44&v=1UT3q
XHduts
 HITCON

 主辦方提供固定數量的伺服器
 攻擊方需占領該伺服器，占領的時間越久，
分數越高
 參賽者需要攻擊並取的伺服器權限
 攻下伺服器後，需要進行修補
 模擬真實環境

 國外統整CTF資訊平
台
 Large information
 Schedule
 Team
 Writeup
 Score


 中國統整中國國內CTF的資訊平台
 採積分制，每場比賽有一定的積分

 HoneyCon CTF
 HITCON CTF
 今年會採攻防形式，約在10月開始
 金盾獎資安技能競賽
 國內老牌比賽，初賽採筆試
 大約10月初賽，11月底決賽
 中科院的CTF
 大約在暑假會舉辦，也有不少獎金

 King of Hill形式
 參賽隊伍會得到一組hash code，請將其寫
入堡壘主機首頁。
 總積分=堡壘主機存活率x∑成功佔領主機數
量。
 堡壘主機存活率：堡壘主機首頁隊名存在
時間/比賽進行總時間 (以分鐘為最小單位)。
 成功佔領主機數量：每分鐘scorebot會
polling所有主機首頁hash code。

該競賽初賽為筆試，複賽是JeoPardy
• 基本上初賽就是比運氣（誤）

 各國資安研究員發表研究成果
 駭客社群
▪ DEFCON
▪ BlackHat
▪ HITCON Community, Pacific– 台灣主辦的世界級會議
▪ VXCON
▪ TDOHConf – 國內學生組織TDOH主辦
▪ HoneyConf
▪ CodeBlue, Sysscan360, …..
 學術研究
▪ S&P
▪ CCS
▪ USENIX Security
▪ NDSS
▪ RAID

 定期發佈自己讀書成果，可以找到更多同
好，也可督促自己持續進行研究
 歡迎投稿 HITCON Knowledge Base
 http://kb.hitcon.org/

 簡介BambooFox，有興趣的歡迎參與
 介紹各種學習資源
 學校課程
 資安書籍
 資安相關社團
 技術網站
 練習網站
 資安會議
 介紹CTF比賽

Become A Security Master

More Related Content

Become A Security Master