資安研究

我們的研究
讓世界變得更安全

DEVCORE 戴夫寇爾不斷精研資安最前瞻、最新研究及攻擊趨勢,
並將之轉化為紅隊演練與滲透測試服務的技術及手法,協助企業掌握新型攻擊趨勢

研究最新資安技術趨勢

我們期望比駭客更早發現漏洞並通報廠商修補,因此長期研究世界著名或具廣泛影響力的資通訊軟硬體及系統,包含 Microsoft Exchange、Pulse Secure、Fortinet、Palo Alto、Jenkins 等。

研發廣泛的資安攻擊手法

Binary Exploitation, Reversing, Web Security 以及 Cryptography 都是 DEVCORE 擅長的技能範圍,並有能力將各種原本難以利用的錯誤轉化組合成嚴重漏洞。

以駭客視角協力提升產品資安

與原廠產品開發及安全團隊協作,共同提升產品資安防禦等級、降低資安風險。針對各種可能的攻擊方式全面評估,並提供產品 Full Stack 安全評估,包含 Hardware Attack、Firmware Security Analysis、Software Vulnerability Assessment 及其他安全評估方式。

研究組成員

Orange Tsai

首席資安研究員

Angelboy

資深資安研究員

Terrynini

資安研究員

覺得研究組很酷嗎?

加入我們
競賽與獎項 Bug Bounty 國際研討會 CVE 漏洞列表

研究相關文章

技術專欄 #CVE #RCE #SSRF

ProxyLogon 僅僅只是冰山一角,一個針對 Microsoft Exchange Server 的全新攻擊面!

2021-08-07

Microsoft Exchange Server 作為當今世界上最常見的郵件解決方案,已經幾乎是企業以及政府每日工作與維繫安全不可或缺的一部分!在今年一月,我們回報了一系列的 Exchange Server 漏洞給 Microsoft,並且將這個漏洞它命名為 ProxyLogon,相信如果您有在關注業界新聞,一定也聽過這個名字!ProxyLogon 也許是 Exchange 歷史上最嚴重、影響力也最大的一個漏洞!

技術專欄 #RCE #NAS #IoT

Your NAS is not your NAS !

Angelboy

 2022-03-28

前年我們在 Synology 的 NAS 中發現了 Pre-auth RCE 的漏洞(CVE-2021-31439),並在 Pwn2Own Tokyo 中取得了 Synology DS418 play 的控制權,而成功獲得 Pwn2Own 的點數,後續也發現這個漏洞不只存在 Synology 的 NAS,也同時存在多數廠牌的 NAS 中,這篇研究將講述這漏洞的細節及我們的利用方式。

技術專欄 #Advisory #CVE #RCE #Facebook #BugBounty

看我如何再一次駭進 Facebook,一個在 MobileIron MDM 上的遠端程式碼執行漏洞!

Orange Tsai

 2020-09-12

嗨! 好久不見,這是我在今年年初的研究,講述如何尋找一款知名行動裝置管理產品的漏洞,並繞過層層保護取得遠端程式碼執行的故事! 其中的漏洞經回報後在六月由官方釋出修補程式並緊急通知他們的客戶,而我們也在修補程式釋出 15 天後發現 Facebook 並未及時更新,因此透過漏洞取得伺服器權限並回報給 Facebook!

更多研究相關文章