屢獲國際大獎的資安團隊
提供全方位攻擊型資安服務

防患於未然,透過主動攻擊研究,協助企業迎戰日新月異、千變萬化的網路攻擊型態

最好的防禦
就是制敵機先
比駭客早一步掌握新型攻擊手法

兼具 駭客技術及思維 的資安專家

DEVCORE 戴夫寇爾由兼具駭客技術及思維的資安專家組成,為台灣首間專注提供「紅隊演練」的資安業者,以挑戰極限、研發創新為核心,專注於全球網路攻擊手法及最新漏洞技術研究,活躍於國際競賽及資安研討會,積累豐富攻擊檢測能量,進行真實資安風險評估,秉持專業與熱情,為世界打造更安全的網路環境。

公司概要

主動攻擊型 資安研究

DEVCORE 專精研發創新攻擊方式,發布並通報多項國際知名大廠產品與服務弱點,在駭客透過 0-day 漏洞攻擊造成影響前,提前找出潛藏的資安危機並提出解決辦法。

資安研究

抵禦 千變萬化 的資安攻擊

駭客攻擊複雜縝密,透過 DEVCORE 與時俱進、具駭客思維的攻擊過程,協助企業及早找出駭客潛在入侵途徑、盤點辨識資安風險,並檢視防禦策略及措施防禦程度,進而以有效、精準的防守方式,阻絕變化多端的駭客攻擊。

資安服務

DEVCORE 深信,優異的資安防護是現代企業必備利器,可強化企業品牌形象、提升消費者忠誠度與信賴感。DEVCORE 對資安的專業與熱情,將使企業正確配置有效的資安防禦資源,建構堅實、難以入侵的資安防護策略。

守護您的
企業價值 就從主動式資安開始做起

硝煙瀰漫的資安戰場上,
以最先進的攻擊火力,
在資安事件發生前未雨綢繆

絕大多數企業執行紅隊演練後,才猛然發現原有防禦不堪一擊,
駭客仍可如入無人之境,戰況遠比預期複雜嚴峻。

  • 300+ 世界級漏洞揭露
  • 50+ 國際企業漏洞獎金
  • 77% 專案取得內網存取權限
  • 82% 密碼破解成功率
  • 81% 專案取得關鍵基礎設施
  • CVE-2024-38476
  • CVE-2024-38475
  • CVE-2024-38474
  • CVE-2025-2395
  • CVE-2025-0585
  • CVE-2025-21375
  • CVE-2024-50285
  • CVE-2024-49026
  • CVE-2024-48958

Angelboy 入列微軟 MSRC 2024 前百大最有價值資安研究員!

恭喜 DEVCORE 資深資安研究員 Angelboy 榮獲 Microsoft 的 MSRC 2024 Most Valuable Security Researchers 的殊榮!除了在不分項 TOP 100 名單中榮獲 #33 名,在 Angelboy 長年研究的 Windows 領域中,他更以 #9 的名次擠入前十大行列。這不僅是 Angelboy 首次登上該年度榜單,同時也是該名單中排名最高的台灣資安研究員。Microsoft 旗下的 Microsoft Security Response Center(MSRC,或稱 Microsoft 安全性回應中心)長期藉 Microsoft Researcher Recognition Program(MRRR)計畫,公開表揚協助 Microsoft 挖掘系統安全漏洞的資安研究員,以此致謝優秀資安研究員為 Microsoft 的客戶及產品安全所付出的努力。

Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!

這篇文章探索了 Apache HTTP Server 中存在的架構問題,介紹了數個 Httpd 的架構債,包含 3 種不同的 Confusion Attacks、9 個新漏洞、20 種攻擊手法以及超過 30 種案例分析。 包括但不限於: 怎麼使用一個 ? 繞過 Httpd 內建的存取控制以及認證。 不安全的 RewriteRule 怎麼跳脫 Web Root 並存取整個檔案系統。 如何利用一段從 1996 遺留至今的程式碼把一個 XSS 轉化成 RCE。

全境擴散:從 Windows 11 到 Libarchive 的 Half-Day 威脅與全面影響

Windows 11 在 2023 年 10 月發布的更新中,新增了對 RAR、7z 等多達 11 種壓縮格式的支援,使用者可以在原生的檔案總管內操作這些格式的檔案,大幅提升了便利性。然而,這一改進同時也引入了潛在的資安風險。Windows 11 使用老牌開源專案 libarchive 來實現多種壓縮格式的支援,該專案被廣泛使用在 Linux、BSD、macOS 等作業系統,以及 ClickHouse、Homebrew、Osquery 等等知名大型專案中。自 2016 起,Google 的 OSS-Fuzz 專案便 24 小時不間斷地對其進行模糊測試,是歷經時間考驗的函式庫。

Streaming vulnerabilities from Windows Kernel - Proxying to Kernel - Part I

在過去的幾十年中 Windows Kernel 的漏洞層出不窮,熱門的攻擊面逐漸從 Win32k 慢慢轉移到 CLFS (Common Log File System) 上。微軟也持續且積極地修補這些漏洞,使得這些元件越來越安全。而下一個熱門的目標會是哪個元件呢?去年開始,MSKSSRV (Microsoft Kernel Streaming Service) 成為駭客喜愛的目標之一。這個驅動程式小到可以在幾天內完成分析。這是否意味著可能不太會有新的漏洞了?

Streaming vulnerabilities from Windows Kernel - Proxying to Kernel - Part II

在先前 Proxying to Kernel 的研究中,我們在 Kernel Streaming 中找到了多個漏洞以及一個被忽視的 Bug Class,並在今年 Pwn2Own Vancouver 2024 中利用漏洞 CVE-2024-35250 及 CVE-2024-30084 成功攻下 Windows 11。 而在這篇研究中,我們將繼續延續這個攻擊面和這個 Bug Class,也將揭露另外一個漏洞和利用手法,亦發表於 HEXACON 2024 中。

了解我們的研究

資訊安全服務

DEVCORE 模擬駭客攻擊,基於企業真實營運環境,為企業發掘可被攻擊者利用的漏洞,並提供專屬的客製化建議,快速且有效緩解重大資安風險。我們提供紅隊演練、滲透測試、資安教育訓練及資安顧問服務。

紅隊演練服務
保護企業高戰略價值資產

了解更多
  • 潛在攻擊情境入侵路徑解析
  • 入侵路徑漏洞修補方式
  • 客製化防禦策略及緩解風險建議
  • 提供攻擊關鍵時間軸供企業重新評估防禦能量
  • 模擬真實駭客入侵攻擊

滲透測試
以最真實的攻擊驗證企業系統

了解更多
  • 依照系統複雜程度安排詳盡檢測
  • 找出複合型攻擊手法
  • 快速緩解風險的修補方式
  • 驗證漏洞修補有效性
  • 撰寫共同性程式安全建議

顧問服務
量身打造專屬於您的資安戰略

了解更多
  • 以紅隊演練為基礎的防禦策略建議
  • 結合企業原定計畫的防禦策略與規劃
  • 從攻擊方視角出發的防禦實務建議
  • 基於國際標準與框架的顧問建議

資安教育訓練
最完善的防禦,從了解攻擊開始

了解更多
  • 暸解攻擊者的入侵思路與脈絡
  • 強化學員攻擊思維的實機操作
  • 可真實應用於演練的攻擊技巧
  • 剖析最新趨勢與前瞻技術