有幸可以聽到他人請教我這個問題，因此以文字的角度記錄這個問題的回答。 — 雖然不覺得自己是一個好社長，但可以肯定的是，我團隊裡的人都是好夥伴。我永遠都不會是一個人孤軍奮戰，我有一個好團隊們。 一個社長的特質大概可以分成以下幾點： （1）不怕困難 代表一社之長，你需要面對困難或是陌生的事情的勇氣，允許自己犯錯的同時，也改善自己做法。 你可能會遇到棘手的事情，儘管你覺得你做不到，你也要從中去分析所有的可能性，然後一步一步去處理這件事情。 （2）領導價值 社長 …

這是一篇以 Web 網站安全為主，給資安新手學習的路徑指南，也可以作為資安社團的資訊安全入門的課程安排。也希望提供給零基礎學習資訊安全的夥伴們一點的系統化的教學。 其他系列文章 第 10 屆 iT 邦幫忙鐵人賽：資訊安全大補帖 第 12 屆 iT 邦幫忙鐵人賽：資安這條路─以自建漏洞環境學習資訊安全 前言 這幾年針對社團儲備幹部想了很多鬼點子，不過總覺得沒有太大的成效，這次 …

APT Group 介紹與自動化模擬攻擊 BAS — 文章摘要 從第一篇了解 ATT&CK® 的基本介紹與官網的操作方式，再從第二篇了解如何分析 Techniques 後設計一套給紅隊的 Windows 學習流程。本篇則介紹以 APT 組織出發，分析 APT 組織的攻擊手法與攻擊行為，分析完畢之後，再來介紹企業如何透過 ATT&CK® 進行自動化模擬攻擊增加企業安全性。 ATT&CK® 的資料中多為「開源情資」 …

文章摘要 上篇介紹 ATT&CK® 是一個紀錄資安攻擊與情資分享的資料庫，是給攻擊方與防禦方溝通的橋樑，紅隊如何使用 ATT&CK®，將透過本篇文章一探究竟。ATT&CK® 會記錄 APT 組織的攻擊手法，所以可以從攻擊手法分析。本篇以 12 個階段與平台以 Windows 為例子，每個階段以三個 Techniques 為範例，並分析每個範例的攻擊手法，從 …

帶你深入淺出 ATT&CK® 資安攻擊情資分享資料庫 文章摘要 ATT&CK® 是一個紀錄資安攻擊與情資分享的資料庫，也是紅隊與藍隊之間溝通的橋樑，市面上許多端點防禦軟體都使用 ATT&CK® 作為防護的標準。 本系列文章主要以「紅隊」的角度下去使用 ATT&CK®，到底紅隊可以怎麼使用 ATT&CK®，透過系列文章探究筆者的觀點，進入紅隊使用方式之前，先介紹 …

前提概要 大概被臉書的粉絲專頁推薦，看到 Amy 的知識圖卡，排版樣式非常喜歡，所以那時候直接私訊詢問是否有開課，不過 12/20 的名額額滿，因此報到第二期 01/30 的班，撰寫此文的當下看到三、四期的公開班也額滿，知識圖卡的魅力無法擋。 其實一直以來我都希望可以在我的演講或是工作坊當中加入圖卡的元素， 2020 的目標也有這一項圖卡製作的部分，不過當時並 …

前言 上篇文章，提到開放式 Web 應用程式安全專案 OWASP 該社群，針對網站應用程式與韌體，建立多個專為以上兩個主題的測試專案與開發者應注意的開發指南，而該篇文章最後介紹安裝 IoTGoat 的方法。 在本篇文章當中會帶領讀者以手把手的方式進行 IoTGoat 的試驗，從韌體分析到加入以 Web 導向的等檢測手法，介紹 2018 年十大常見 Io …

OWASP IoTGoat 由 OWASP 維護的專案 IoTGoat 是針對 IoT 設備常見的漏洞，基於 OpenWrt 所開發的不安全韌體，可以透過該專案學習常見的 IoT 設備漏洞。 介紹 IoTGoat 安裝教學之前，我們先來談談 OWASP 有哪些專案與 IoT 息息相關，OWASP 該組織涉獵的範圍非常廣大，從網站、行動裝置端到韌體通通都有專案在研究與開發相關的工 …

前言 各位好，在上一篇介紹了 MQTT 通訊協定，對 MQTT 有所認識之後，在 IoT 的世界當中，還有一個具互通性的 AMQP 協定，接下來就讓我們進入主題吧： AMQP（Advanced Message Queuing Protocol）