這次很幸運錄取了 2024 年秋季班的出國交換,是到德國 RWTH Aachen 的 Electrical Engineering and Information Technology 學院交換一學年,而目前已經到當地一個月左右,大致上安定下來了,因此將一年多來的準備以及這一個月來的經驗寫成心得文,希望可以幫助到也想出國體驗不同生活的大家,也期望自己可以在一年後帶著滿滿的收穫回台灣並再寫續集,也希望這系列可以稱得上是完全攻略 🤣。
OSWA RTA 之旅
Introduction
這篇文章算是第二集,如果沒有看過上集的可以點 2024 OffSec x DEVCORE Live Training - OSWA。
雖然在上課時就約好考試了,而且 lab 跟課程內容大致都沒有問題,但第一次考試還是有點緊張,很怕一題沒通靈出來就要全部重來 🫠 還好最後還是順利通過,以下就簡單分享一下大致的過程以及心得。
2024 OffSec X DEVCORE Live Training - OSWA
TeamT5 Security Camp 2024 筆試 — 漏洞研究
2023 Backend Intern 面試分享
AIS3 EOF Final 2024 遊記+心得
AIS3 2022 — CDN 技術所帶來的攻擊面向(下)
Note: 這篇是下篇,還沒看過上篇的可以先看一下再回來這篇!
1. How to Attack & Defend
1.1. Post Exploitation - CF-Connecting-IP
還有另一種常見的問題,就是取得 IP 的實作方式所產生的漏洞。由於你的網站都是 CDN 的 Server 代替使用者送出請求,那你要怎麼取得使用者真實 IP 呢?這時 CDN 通常就會在 Request Header 中塞入一個自定義的 Header 來傳遞,原理與 Proxy 的 X-Forwarded-For Header 差不多(有興趣的話,推薦延伸閱讀:如何正確的取得使用者 IP),例如 CF 就會使用 CF-Connecting-IP 這個 Header 來傳遞使用者 IP,我們就可以從這個 Header 中取得使用者的 IP。
AIS3 2022 — CDN 技術所帶來的攻擊面向(上)
1. Introduction
距離今年 AIS3 已經結束一個月了,還都收到了第二張結業證書,一定是提醒我該開始來補坑(๑•ั็ω•็ั๑) 今年是第一次參加 AIS3,參加的感想用一句話來說的話,就是「這真的是免費可以參加的嗎」(X),講師都是各路業界大神,真的是一個非常棒的經驗,也很感謝所有籌辦的教授、工作人員等,他們多年來的努力耕耘,讓台灣的資安界能越來越好 (´▽`)
這系列文章預計會分享一些網頁安全或是我比較感興趣的課程,不僅希望可以幫助一些也有興趣的同好,也希望透過筆記讓自己能夠溫故知新(趁自己還沒忘記之前)。
第一篇讓我直接跳到第二天的上午課程,是由 Mico 帶來的「CDN 技術所帶來的攻擊面向」,這篇會介紹 CDN 以及相關的攻擊議題,由於這堂課內容太豐富了,所以會分成兩篇。另外,這是我第一次聽 Mico 講課,不得不稱讚一下口條蠻好的,而且內容也十分淺顯易懂,人還很有趣,大推 👍
完稿後補充:結果中間太忙,打完上跟下兩篇已經是課程結束後兩個月了 XDD,不過這篇太長了,多花點時間也應該是可以接受的(吧?