DEVCORE 2024 第六屆實習生計畫
DEVCORE 創立迄今已逾十年,持續專注於提供主動式資安服務,並致力尋找各種安全風險及漏洞,讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能,我們成立了「戴夫寇爾全國資訊安全獎學金」,2022 年初開始舉辦首屆實習生計畫,目前為止成果頗豐、超乎預期,第五屆實習生計畫也將於今年 7 月底告一段落。我們很榮幸地宣佈,第六屆實習生計畫即將登場,若您期待加入我們、精進資安技能,煩請詳閱下列資訊後來信報名!
實習內容
本次實習分為 Research 及 Red Team 兩個組別,主要內容如下:
- Research (Binary/Web)
以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試分析及撰寫過往漏洞的 Exploit,理解過去漏洞都出現在哪,體驗真實世界的漏洞都是如何利用。
- 漏洞挖掘及研究 60 %
- 1-day 開發 (Exploitation) 30 %
- 成果報告與準備 10 %
- Red Team
研究並深入學習紅隊常用技巧,熟悉實戰中會遇到的情境、語言與架構。了解常見漏洞的成因、實際利用方法、嚴苛條件下的利用策略、黑箱測試方式及各種奇技淫巧。學習後滲透時的常見限制、工具概念與原理。
- 漏洞與技巧的研究及深入學習 70 %
- Lab 建置或 Bug Bounty 或漏洞挖掘 30 %
公司地點
台北市松山區八德路三段 32 號 13 樓
實習時間
- 2024 年 9 月開始到 2025 年 1 月底,共 5 個月。
- 每週工作兩天,工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
- 如果居住雙北外可彈性調整(但須每個組別統一)
- 其餘時間皆為遠端作業
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
招募對象
- 具有一定程度資安背景的學生,且可每週工作兩天
- 此外並無其他招募限制,歷屆實習生可重複應徵
- 對資格有任何疑慮,歡迎來信詢問
預計招收名額
- Research 組:2~3 人
- Red Team 組:2~3 人
薪資待遇
每月新台幣 16,000 元
招募條件資格與流程
實習條件要求
Research (Binary/Web)
- 基本漏洞利用及挖掘能力
- 具備研究熱誠,習慣了解技術本質
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題
- 具備獨立分析開放原始碼專案的能力,能透過分析程式碼理解目標專案的架構
- 熟悉並理解常見的漏洞成因
- OWASP Web Top 10
- Memory Corruption
- Race Condition
- …
- 加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 有公開的技術 blog/slide、write-ups 或是演講
- 精通 IDA Pro 或 Ghidra
- 熟悉任一種網頁程式語言或框架(如:PHP、ASP.NET、Express.js),具備可以建立完整網頁服務的能力
- 理解 PortSwigger Web Security Academy 中的安全議題
- 獨立挖掘過 0-day 漏洞,或分析過 1-day 的經驗
- 具備下列其中之一經驗
- Web Application Exploit
- Kernel Exploit
- Windows Exploit
- Browser Exploit
- Bug Bounty
Red Team
- 熟悉 OWASP Web Top 10
- 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab
- 理解計算機網路的基本概念
- 熟悉任一種網頁程式開發方式(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題
- 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache、Tomcat、IIS)及作業系統(如:Linux、Windows)的能力
- 加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞
- 曾經獨立分析過已知漏洞並能撰寫 1-day Exploit
- 曾經於 CTF 比賽中擔任出題者並建置過題目
- 擁有 OSCP 證照或同等能力之證照
應徵流程
本次甄選一共分為二個階段:
第一階段:書面審查
第一階段為書面審查,會需要審查下列兩個項目
- 履歷內容
- 簡答題答案
- 應徵 Research 實習生:
- 題目一:漏洞重現與分析過程
- 請提出一個,你印象最深刻或感到有趣、於西元 2022 ~ 2024 年間公開的真實漏洞或攻擊鏈案例,並依自己的理解詳述說明漏洞的成因、利用條件和可以造成的影響。同時,嘗試描述如何復現此漏洞或攻擊鏈,即使無法成功復現,也請記錄研究過程。報告撰寫請參考範本,盡可能詳細,中英不限。
- 題目二:實習期間想要研究的主題
- 請提出三個可能選擇的明確主題,並簡單說明提出的理由或想完成的內容,例如:
- 研究◯◯開源軟體,找到可 RCE 的重大風險弱點。
- 研究常見的路由器,目標包括:AA-123 路由器、BB-456 無線路由器。
- 研究常見的筆記平台或軟體,目標包括:XX Note、YY Note。
- 請提出三個可能選擇的明確主題,並簡單說明提出的理由或想完成的內容,例如:
- 題目一:漏洞重現與分析過程
- 應徵 Red Team 實習生:
- 請提出兩個於西元 2022 ~ 2024 年間公開的、與 Web 攻擊面、漏洞或攻擊鏈相關的演講。請說明為什麼挑選這些演講並解釋它們為什麼有趣。用你的話詳細解釋這些演講的細節,並提供任何你覺得可以輔助或證明你理解的附加資料。這些演講可以來自包含但不限於 Black Hat、DEF CON、OffensiveCon、POC、ZeroConf、Hexacon、HITCON、TROOPERS CONFERENCE 等會議。
- 應徵 Research 實習生:
本階段收件截止時間為 2024/08/09 23:59,我們會根據您的履歷及題目所回答的內容來決定是否有通過第一階段,我們會在 10 個工作天內回覆。
第二階段:面試
此階段為 30~120 分鐘(依照組別需求而定,會另行通知)的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。
時間軸
- 2024/07/18 - 2024/08/09 公開招募
- 2024/08/12 - 2024/08/22 面試
- 2024/08/26 前回應結果
- 2024/09/02 第六屆實習計畫於當週開始
報名方式
- 請將您的履歷及題目答案以 PDF 格式寄到 [email protected]
- 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Red Team 組實習生 王小美)
- 履歷內容請務必控制在三頁以內,至少需包含以下內容:
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- MBTI 職業性格測試結果(測試網頁)
若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!