DEVCORE 2022 第二屆實習生計畫
DEVCORE 自 2012 成立以來已邁向第十年,我們很重視台灣的資安,也專注找出最嚴重的弱點以保護世界。雖然公司規模擴張不快,但在漸漸站穩腳步的同時,我們仍不忘初衷:從 2020 開始在輔大、台科大成立資安獎學金;在 2021 年末擴大徵才,想找尋有著相同理念的人才一起奮鬥;今年年初,我們開始嘗試舉辦第一屆實習生計畫,希望培育人才、增強新世代的資安技能,最終成果也超乎預期。於是我們決定在今年 9 月進行第二屆實習生計畫,如果您對這個計畫有興趣,歡迎來信報名!
實習內容
本次實習分為 Binary 及 Web 兩個組別,主要內容如下:
- Binary
以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試寫過往漏洞的 Exploit 理解過去漏洞都出現在哪,體驗真實世界的漏洞都是如何利用。
- 漏洞挖掘及研究 70 %
- 1-day 開發 (Exploitation) 30 %
- Web
主要內容為在導師指引與輔佐下研究過往漏洞與近年常見新型態漏洞、攻擊手法,需要製作投影片介紹成果並建置可供他人重現弱點的模擬測試環境 (Lab),另可能需要撰寫或修改可利用攻擊程式進行弱點驗證。
- 漏洞及攻擊手法研究 70%
- 建置 Lab 30%
公司地點
台北市松山區八德路三段 32 號 13 樓
實習時間
- 2022 年 9 月開始到 2023 年 2 月底,共 6 個月。
- 備註:若應徵人數過多,我們評估無法在 08/26 前決定人選。整體實習時間將會順延一至兩週,屆時會提早發信通知所有應徵者。
- 每週工作兩天,工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
- 其餘時間皆為遠端作業
招募對象
大專院校大三(含)以上具有一定程度資安背景的學生
預計招收名額
- Binary 組:2~3 人
- Web 組:2~3 人
薪資待遇
每月新台幣 16,000 元
招募條件資格與流程
實習條件要求
Binary
- 基本逆向工程及除錯能力
- 能看懂組合語言並瞭解基本 Debugger 使用技巧
- 基本漏洞利用能力
- 須知道 Stack overflow、ROP 等相關利用技巧
- 基本 Scripting Language 開發能力
- Python、Ruby
- 具備分析大型 Open Source 專案能力
- 以 C/C++ 為主
- 具備基礎作業系統知識
- 例如知道 Virtual Address 與 Physical Address 的概念
- Code Auditing
- 知道怎樣寫的程式碼會有問題
- Buffer Overflow
- Use After free
- Race Condition
- …
- 知道怎樣寫的程式碼會有問題
- 具備研究熱誠,習慣了解技術本質
- 加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 樂於分享技術
- 有公開的技術 blog/slide、Write-ups 或是演講
- 精通 IDA Pro 或 Ghidra
- 有寫過 1-day 利用程式
- 具備下列其中之一經驗
- Kernel Exploit
- Windows Exploit
- Browser Exploit
- Bug Bounty
Web
- 熟悉 OWASP Web Top 10。
- 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
- 參考連結:https://portswigger.net/web-security/all-materials
- 理解計算機網路的基本概念。
- 熟悉 Command Line 操作,包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
- 熟悉任一種網頁程式語言(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力。
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究。
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題。
- 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache)及作業系統(如:Linux)的能力。
- 具備追根究柢的精神。
- 加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞。
- 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
- 曾經於 CTF 比賽中擔任出題者並建置過題目。
- 擁有 OSCP 證照或同等能力之證照。
應徵流程
本次甄選一共分為二個階段:
第一階段:書面審查
第一階段為書面審查,會需要審查下列兩個項目
- 履歷資格審查
- 問答題答案(共 2 題,各組別題目不同,詳見下方報名方式)
我們會根據您的履歷及所回答的內容來決定是否有通過第一階段,會在七個工作天內回覆。
第二階段:面試
此階段為 1~2 小時的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。
報名方式
- 請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
- 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Web 組實習生 王小美)
- 履歷內容請務必控制在三頁以內,至少需包含以下內容:
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- 對於這份實習的期望
- MBTI 職業性格測試結果(測試網頁)
- 題目如下,請依照欲申請之組別回答
- Binary
- 簡答題
- 假設你今天要分析一台印表機
- 你會如何去分析 ?
- 你覺得有哪些地方可能會發生問題導致攻擊者可以獲得印表機控制權? 為什麼 ?
- 假設你今天要分析一台印表機
- 實作題目
- 題目檔案
- 為一個互動式的 Server,可透過網路連線與之互動。
- 請分析上述所提供的 Server,並利用其中的漏洞在 Windows 11 上跳出 calc.exe。
- 漏洞可能有很多,不一定每個都可以利用。
- 請務必寫下解題過程及如何去分析這個 Server,並交 write-up,請盡你所能來解題,即使最後沒有成功,也請寫下您所嘗試過的方法及思路,本測驗將會以 write-up 為主要依據。
- 題目檔案
- 簡答題
- Web
- 當你在網頁瀏覽器的網址列上輸入一串網址(例如:
http://site.fake.devco.re/index.php?foo=bar
),隨後按下 Enter 鍵到出現網頁畫面為止,請問中間發生了什麼事情?請根據你所知的知識背景,以文字盡可能說明。 - 請提出三個,你印象最深刻或感到有趣、於西元 2020 ~ 2022 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解簡述說明各個漏洞的成因、利用條件和可以造成的影響,以及所對應到的 OWASP Top 10 / CWE 類別。
- (上述題目建議撰寫 1~2 頁即可)
- 當你在網頁瀏覽器的網址列上輸入一串網址(例如:
- Binary
若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!