TaiYou


我是 TaiYou,也可以叫我 Sun、太陽,我具有軟體開發和資訊安全的豐富經驗,並且具有紮實的資訊工程背景,也同時在軟體開發和漏洞研究中有著豐碩的成果,希望可以透過漏洞研究讓這世界變得更安全。歡迎到我的 Linkedin 看看更多詳細的資訊,也可以直接聯絡我!

另外,我也會在我的 blog 發表各種學習的筆記以及文章,十分歡迎來看看!


Experience

IT Security Intern Engineer

台灣積體電路製造公司
  • 於資訊安全管理部(ISOC)進行漏洞研究。
August 2024 - September 2024, 2 months

Web Security Intern Researcher

DEVCORE 戴夫寇爾
  • 錄取 2024 第五屆實習生計畫,加入 Web 組進行漏洞研究
  • 於 Moodle(世界前兩大開源學習管理系統,全球擁有超過 4 億已註冊使用者)上成功挖掘出十個漏洞,並成功串聯出低權限 RCE 攻擊鏈。
  • 於 Typora 上成功挖掘出兩個可用於 RCE 的漏洞:CVE-2024-41481, CVE-2024-41482
March 2024 - July 2024, 5 months

IT DevOps Intern Engineer

台灣積體電路製造公司
  • TSID / 製造系統整合專案(MFGSIP)
  • 擔任 Summer Intern,使用 SpringBoot 開發 Black box Testing Tool,讓開發人員可以快速且方便地進行 Regression Testing,成功自動化原本需人力手動測試的程式。
July 2023 - August 2023, 2 months

Backend Engineer

瑞保網路科技股份有限公司(信用市集)
  • 負責新產品系統後端開發(Laravel)與共同設計及規劃,並重構舊有部分 API 提升效能及維護性,更透過優化部分 SQL 語句及 Laravel 語法,讓部分 Response Time 縮短至原本的 25% 以上。
  • 在開發團隊積極導入 CI 及容器化,加入原本沒有的自動測試、產生報表等,減少 Code Review 的時間,更能將原先每周需花在部署及測試上的 3~4 小時縮短至五分鐘。
  • 積極推動自動化測試,提升主要專案(Laravel w/ phpunit)超過 30% 以上的 Code Coverage。
  • 將數個第三方 API 微服務化,同時也將其透過容器化包裝,讓團隊在後續皆能易於使用、部署及維護。
September 2022 - February 2023, 6 months

Backend Intern

瑞保網路科技股份有限公司(信用市集)
  • 協助通過 PCI DSS 認證
  • 使用 PHP w/Laravel 串接及整合第三方金流系統,並共同設計、開發新產品之系統後端
November 2021 - August 2022, 10 months

Backend Intern

瑞保網路科技股份有限公司(信用市集)
  • 協助規劃及使用 Laravel 開發發票上傳系統,串接財政部 Turnkey 及內部系統,自動化電子發票開立流程,每月可開立近萬張發票,每年預計可節省下數萬元的成本。
July 2021 - September 2021, 3 months

Software Testing Intern

瑞保網路科技股份有限公司(信用市集)
  • 網站功能測試,期間發現並回報數個網站漏洞。
  • 使用 Python 開發自動化工具,讓該公司自動化信用資料審查流程,讓原本每日須花費超過 3 小時的繁複工作可以在 5 秒內完成。
July 2019 - September 2019, 3 months

Works

「CCoE 資安菁英人才培訓課程」報名網站

  • 擔任「CCoE 資安菁英人才培訓課程」報名網站之後端開發工程師,與另一名前端夥伴一同合作,於不到兩個月的時間內迅速完成開發。
  • 負責網站後端設計及開發,使用 PHP w/Laravel 開發。
May 2022 - June 2022, 2 months

大稻程資訊平台

  • 與一名前端夥伴一同參與國立台灣科技大學建築系之科技部計畫:「臺灣、拉脫維亞、立陶宛三邊合作計畫『與時俱進的都市再生資訊系統』」,開發一個以地圖及文章帶領民眾了解大稻程之系統。
  • 負責網站後端設計、開發(Laravel)、與甲方溝通需求、工作分配及伺服器管理等。
  • 新聞報導:欣傳媒id SHOW
December 2020 - March 2022, 1 year 4 months

國立中央大學學生退宿系統

  • 與三名夥伴一同開發「國立中央大學學生退宿系統」。至今約有超過 10,000 名不重複學生使用過,成功推動退宿流程電子化、加速行政流程。
  • 負責網站後端設計、使用 PHP w/Laravel 開發、伺服器管理及團隊領導。
July 2020 - September 2020, 3 months

鈊象電子區塊鏈遊戲產學合作案

  • 參與區塊鏈遊戲研究計畫,負責區塊鏈遊戲研究及開發(Cocos Creator、TypeScript)。
January 2020 - December 2020, 1 year

Education

國立陽明交通大學

Master of Science
資訊科學與工程研究所
February 2023 - Present

國立臺灣科技大學

Bachelor of Science
資訊工程系
September 2018 - June 2022

Awards

  • 第三名

    2024 神盾盃資安競賽
    November 2024
  • 優等

    112 年度教育體系資安攻防演練
    • 在全台大專院校之滲透演練中排名第四,榮獲「優等」,成功發掘共計 8 個重大衝擊性、15 個高衝擊性、7 個中衝擊性以及 1 個低衝擊性等共計 31 個弱點。
    January 2024
  • 第七名

    2023 神盾盃資安競賽
    November 2023
  • Taiwan Star

    HITCON CTF Final 2023
    • 以 abscisins 隊伍參賽,於決賽獲得台灣隊伍第一名之成績。
    November 2023
  • 最佳專題獎

    2023 AIS3 新型態資安實務暑期課程
    • 於課程專題中,帶領其餘三名組員以挖掘 Moodle(世界前兩大開源學習管理系統,全球擁有超過 4 億已註冊使用者)專案中的 Bug,在「網頁安全」組獲得最佳專題獎。負責:
      • 擔任隊長,帶領團隊其餘三名成員、分派工作,並指導其餘無經驗的隊員。
      • 挖掘五個 Bug
    July 2023
  • 第二名

    第 26 屆大專校院資訊應用服務創新競賽 資訊應用組
    • 參賽影片
    • 以「結合虛擬化 IoT 的軟體安全開發流程 」為題參賽,將應用程式放入模擬的 IoT 設備中,並將動態分析導入 CI 流程,使 CI 流程能夠全自動且高效化,進而解決 IoT 設備所面臨之高風險資安問題。
    • 負責網站後端設計、開發(Laravel)、自動化工具分析及應用、常見漏洞研究及實現等。
    November 2021
  • 佳作

    第 26 屆大專校院資訊應用服務創新競賽 資安組
    • 參賽影片
    • 以資安領域實務專題「虛擬化 IoT 高效安全 CI 」參賽, 將開發中的應用程式放入模擬的 IoT 設備中,並將動態分析導入 CI 流程,使 CI 流程能夠全自動且高效化,進而解決 IoT 設備所面臨之高風險資安問題。
    • 負責網站後端設計、開發(Laravel)、自動化工具分析及應用、常見漏洞研究及實現等。
    November 2021
  • 銅質獎

    教育部資訊安全人才培育計畫 — 106 年度 MyFirstCTF 資安競賽
    February 2018

Contributions


Certifications

OSWA

Courses

第四屆 TeamT5 Security Camp 資安培訓營

Team T5
  • 以漏洞研究主題通過事前筆試甄選,進行 CVE-2023-37144 及 CVE-2022-42168 的漏洞研究及復現,詳細可見此文章
  • 在五天課程期間,結合課程中所學習的知識並與組員 pwn2ooown 一同完成「Deep in ASUS RT Series Routers' Multiple Vulnerabilities」專題。
  • 研究並復現數個 ASUS RT 系列路由器之漏洞,包含 CVE-2023-28702、CVE-2023-28703、CVE-2023-35086、CVE-2023-35087 等。
2024

第九屆臺灣好厲駭

教育部先進資通安全實務人才培育計畫推動辦公室
2024 ~ 2025

第八屆臺灣好厲駭

教育部先進資通安全實務人才培育計畫推動辦公室
2023 ~ 2024

AIS3 新型態資安實務暑期課程

教育部先進資通安全實務人才培育計畫推動辦公室
  • 參加「網頁安全」組,並在七天課程期間,結合課程中所學習的知識並與組員完成專題「我組員念 Moodle,但我都習慣念 Moodle」。
  • 挖掘 Moodle(世界前兩大開源學習管理系統,全球擁有超過 4 億已註冊使用者)專案中的 Bug,於十組中脫穎而出獲得最佳專題獎。
2023

AIS3 新型態資安實務暑期課程

教育部先進資通安全實務人才培育計畫推動辦公室
  • 參加「網頁安全」組,並在七天課程期間,結合課程中所學習的知識並與組員完成專題「你沒發現的 ZeroDay」。
  • 研究 Targets、AeroCMS、CouchCMS、phpwcms、WonderCMS 等多個開源 CMS,並成功挖掘出數個漏洞。
2022