翁盛宗
Kevin Wong
專業實習報告
壹、工作內容
01. 目標
-
規定時程內完成交辦事項
- 加深資安觀念、考取相關證照(CEH、ECSA、ISO27001 LA)
- 藉由參與資安大會獲取最新駭客技術及Solution
02. 規範
基本上規定時程內完成交辦事項即可,無特別規範。
03. 執掌
公司有代理多種,針對不同的裝置、應用上的資安檢測產品。而我所在的部門主要針對網頁應用系統進行防護,包含了五種方案:
-
滲透測試 (Penetration Testing, PT)
-
網頁應用系統防火牆 (Web Application Firewall, WAF)
-
動態應用系統安全測試 (Dynamic Application Security Testing, DAST)
-
靜態應用系統安全測試 (Static Application Security Testing, SAST)
-
互動式應用系統安全測試 (Interactive Application Security Testing, IAST)
目前我所在的團隊主要是靜態應用系統安全測試,也就是源碼檢測。在產品服務平台上,接收顧客對於源碼檢測通報風險相關問題,包括:說明弱點發生原因或定義、協助修改程式碼以完善應用系統防護、協助審查疑似誤判的情況、協助排除工具在使用時因OS、語言套件、第三方服務套件發生的問題或是編寫一些客戶希望增加在工具中的功能。
處理最多的是協助審查疑似誤判的情況,因為每位顧客編寫網頁應用程式的語言、寫法不盡相同,且源碼檢測工具也是人寫出來的,不大可能每種驗證都能加入Query裡面,從而導致許多有效的防禦方法被漏判,於是乎看過了不少有趣的寫法,從中獲益良多。
04. 完成任務
目前處裡過許多客戶的資安問題,包括:ASUS、CHB(彰化銀行)、DGBAS、E.SUN(玉山銀行)、FBIC(富邦產險)、HMS哈瑪星、JCIC(聯徵中心)、KGIB、MEGA(兆豐)、NCSIST(中科院)、NEWA(新安東京海上)、THCB(台中商銀)、安源資訊。
由於每個客戶的開發團隊,開發系統上所使用的語言、開發習慣不盡相同,於是在處裡問題的過程中,必須能讀懂各個客戶使用的語言,因而接觸過:ASP、CPP、CSharp、Go、Java、JavaScript、ObjC、PHP、PLSQL、Python、VbNET這些語言,及多種開發框架。
服務平台示意圖(總計完成32張平台問題、21份郵件專案):
目前完成過一次獨立顧問到場服務,是去STPI。
以及擔任公司舉辦的叡智網頁開發夏令營助教,為期三週。
05. 工作報告或成果
我以單次的問題諮詢為例,來說明我的工作詳細內容:
另外還有教育訓練的教材準備:
貳、工作體驗
工作雖然讓人學到很多東西,但是會來不及吸收(因為會有許多的事情要處裡,不論是公事還是沈事,無法避免),尤其在資訊業,每天要接收的資料量非常大,更會加劇這樣的事情發生,還是學生較能深化知識。
參、自我評估及心得感想
我覺得能夠參加叡智夏令營是非常棒的體驗,感謝學校的安排,從中我學到很多,而且還獲得了實習的機會,讓我能夠繼續培養專業技能,我會認真的學習、付出,不枉學校、系上的苦心。
在公司與學校,兩個截然不同的環境,也許因為我還是學生的關係,還沒有體會到特別大的差別,只覺得都是學習的場所,這幾個月我學到的東西,實在難以在一份報告中描述出來,透過張國忠教授的安排,讓我有機會能夠跟對資訊安全有興趣的學弟妹,分享我在實習期間學習到的相關知識,也很感謝教授的安排,有交流更容易進步。
感謝我在實習期間,發問就會熱心回覆的同事及上司,解決了我許多的疑問,期望自己能夠好好的學習,能夠變得跟他們一樣專業。對自己的專業有信心,是多麼棒的一件事。
不過呢,也正是因為到了叡揚實習,我體會到自己會的太少,還需要更多的累積才可以,剩下的半年實習,預計要學習機械語言以及滲透技術。