DEVCORE 自 2012 成立以來已邁向第十年,我們很重視台灣的資安,也專注找出最嚴重的弱點以保護世界。雖然公司規模擴張不快,但在漸漸站穩腳步的同時,我們仍不忘初衷:從 2020 開始在輔大、台科大成立資安獎學金;在 2021 年末擴大徵才,想找尋有著相同理念的人才一起奮鬥;而現在,我們開始嘗試舉辦實習生計畫,希望培育人才、增強新世代的資安技能,如果您對這個計畫有興趣,歡迎來信報名!
實習內容
本次實習分為 Binary 及 Web 兩個組別,主要內容如下:
- Binary
以研究為主,在與導師確定研究標的後,分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路,找出可能的攻擊面與潛在的弱點。另外也會讓大家嘗試寫過往漏洞的 Exploit 並將之武器化,體驗真實世界的漏洞都是如何利用。- 漏洞挖掘及研究 70 %
- 1-day 開發 (Exploitation) 及武器化 (Weaponization) 30 %
- Web
主要內容為在導師指引與輔佐下研究過往漏洞與近年常見新型態漏洞、攻擊手法,需要製作投影片介紹成果並建置可供他人重現弱點的模擬測試環境 (Lab),另可能需要撰寫或修改可利用攻擊程式進行弱點驗證。- 漏洞及攻擊手法研究 70%
- 建置 Lab 30%
公司地點
台北市松山區八德路三段 32 號 13 樓
實習時間
- 2022 年 4 月開始到 7 月底,共 4 個月。
- 每週工作兩天,工作時間為 10:00 – 18:00
- 每週固定一天下午 14:00 - 18:00 必須到公司討論進度
- 其餘時間皆為遠端作業
招募對象
大專院校大三(含)以上具有一定程度資安背景的學生
預計招收名額
- Binary 組:2 人
- Web 組:2~3 人
薪資待遇
每月新台幣 16,000 元
招募條件資格與流程
實習條件要求
Binary
- 基本逆向工程及除錯能力
- 能看懂組合語言並瞭解基本 Debugger 使用技巧
- 基本漏洞利用能力
- 須知道 ROP、Heap Exploitation 等相關利用技巧
- 基本 Scripting Language 開發能力
- Python、Ruby
- 具備分析大型 Open Source 專案能力
- 以 C/C++ 為主
- 具備基礎作業系統知識
- 例如知道 Virtual Address 與 Physical Address 的概念
- Code Auditing
- 知道怎樣寫的程式碼會有問題
- Buffer Overflow
- Use After free
- Race Condition
- …
- 知道怎樣寫的程式碼會有問題
- 具備研究熱誠,習慣了解技術本質
- 加分但非必要條件
- CTF 比賽經驗
- pwnable.tw 成績
- 有公開的技術 blog/slide 或 Write-ups
- 精通 IDA Pro 或 Ghidra
- 有寫過 1-day 利用程式
- 具備下列經驗
- Kernel Exploit
- Windows Exploit
- Browser Exploit
- Bug Bounty
Web
- 熟悉 OWASP Web Top 10。
- 理解 PortSwigger Web Security Academy 中所有的安全議題或已完成所有 Lab。
- 參考連結:https://portswigger.net/web-security/all-materials
- 理解計算機網路的基本概念。
- 熟悉 Command Line 操作,包含 Unix-like 和 Windows 作業系統的常見或內建系統指令工具。
- 熟悉任一種網頁程式語言(如:PHP、ASP.NET、JSP),具備可以建立完整網頁服務的能力。
- 熟悉任一種 Scripting Language(如:Shell Script、Python、Ruby),並能使用腳本輔以研究。
- 具備除錯能力,能善用 Debugger 追蹤程式流程、能重現並收斂問題。
- 具備可以建置、設定常見網頁伺服器(如:Nginx、Apache)及作業系統(如:Linux)的能力。
- 具備追根究柢的精神。
- 加分但非必要條件
- 曾經獨立挖掘過 0-day 漏洞。
- 曾經獨立分析過已知漏洞並能撰寫 1-day exploit。
- 曾經於 CTF 比賽中擔任出題者並建置過題目。
- 擁有 OSCP 證照或同等能力之證照。
應徵流程
本次甄選一共分為三個階段:
第一階段:書面審查
第一階段為書面審查,會需要審查下列兩個項目
- 書面審查
- 簡答題測驗(2 題,詳見下方報名方式)
我們會根據您的履歷及簡答題所回答的內容來決定是否有通過第一階段,我們會在七個工作天內回覆是否有通過第一階段,並且視情況附上第二階段的題目。
第二階段:能力測驗
- Binary
- 第二階段會根據您的履歷或是任何可以證明具備 Binary Exploit 相關技能的資料來決定是否需要另外做題目,如果未達標準則會另外準備 Binary Exploitation 相關題目,原則上這個階段會給大家約兩週時間解題,解完後請務必寫下解題過程(Write-up),待我們收到解題過程後,將會根據您的狀況決定是否可以進入第三階段。
- Web
- 無
第三階段:面試
此階段為 1~2 小時的面試,會有 2~3 位資深夥伴參與,評估您是否具備本次實習所需的技術能力與人格特質。
報名方式
- 請將您的履歷及簡答題答案做成一份 PDF 檔寄到 [email protected]
- 信件標題格式:[應徵] 職位 您的姓名(範例:[應徵] Web 組實習生 王小美)
- 履歷內容請務必控制在兩頁以內,至少需包含以下內容:
- 基本資料
- 學歷
- 實習經歷
- 社群活動經歷
- 特殊事蹟
- 過去對於資安的相關研究
- 對於這份實習的期望
- MBTI 職業性格測試結果(測試網頁)
- 簡答題題目如下,請依照欲申請之組別回答,答案頁數不限,可自由發揮
- Binary
- 假設你今天要分析一個 C/C++ 寫的 web server,在程式執行過程中,你覺得有哪些地方可能會發生問題導致程式流程被劫持?為什麼?
- 在 Linux 機器上,當我們在對 CGI 進行分析時,由於 CGI 是由 apache 所呼叫並傳遞 input,且在執行後會立即結束,這種程式你會如何 debug ?
- Web
- 當你在網頁瀏覽器的網址列上輸入一串網址(例如:
http://site.fake.devco.re/index.php?foo=bar
),隨後按下 Enter 鍵到出現網頁畫面為止,請問中間發生了什麼事情?請根據你所知的知識背景,以文字盡可能說明。 - 依據前述問題的答案,允許隨意設想任何一個情境,並以文字盡可能說明在情境的各個環節中可能發生的任何安全議題或者攻擊目標、攻擊面向。
- 當你在網頁瀏覽器的網址列上輸入一串網址(例如:
- Binary
若有應徵相關問題,請一律使用 Email 聯繫,如造成您的不便請見諒,我們感謝您的來信,並期待您的加入!