終於找到時間來寫一下 2025 的面試心得跟經驗分享,有一部分也是因為看到研替幾乎沒有相關的心得,如果限制在資安產業或相關職缺更是寥寥可數,再加上近年來似乎多了不少也想踏入這個領域的新血,就寫一下個人經驗來做點貢獻。
總之這篇是專找資安領域的,個人有看到有研替名額的公司都有投,至於職缺方向的話,自己對攻擊方比較有興趣,所以資安研究員、滲透測試、紅隊,這三個偏攻擊面的職位都有投,但這台灣有符合這些條件的蠻少的,所以其實選擇不多,但如果你是對其他方有興趣的話應該會有很多選擇,就不限於這幾家了。
總之,以下是有投履歷的公司:
這篇是第三集了,一樣附上上集連結 OSWA RTA 之旅,考試過程要注意的都寫在上一篇了,這篇就很單純的心得,第一次考 OffSec 的人有興趣也可以先看一下上集了解考試會遇到什麼。
一樣會這這篇分享一下通過之後的心得跟一些給這張證照有興趣的人的建議。
這次很幸運錄取了 2024 年秋季班的出國交換,是到德國 RWTH Aachen 的 Electrical Engineering and Information Technology 學院交換一學年,而目前已經到當地一個月左右,大致上安定下來了,因此將一年多來的準備以及這一個月來的經驗寫成心得文,希望可以幫助到也想出國體驗不同生活的大家,也期望自己可以在一年後帶著滿滿的收穫回台灣並再寫續集,也希望這系列可以稱得上是完全攻略 🤣。
這篇文章算是第二集,如果沒有看過上集的可以點 2024 OffSec x DEVCORE Live Training - OSWA。
雖然在上課時就約好考試了,而且 lab 跟課程內容大致都沒有問題,但第一次考試還是有點緊張,很怕一題沒通靈出來就要全部重來 🫠 還好最後還是順利通過,以下就簡單分享一下大致的過程以及心得。
Note: 這篇是下篇,還沒看過上篇的可以先看一下再回來這篇!
還有另一種常見的問題,就是取得 IP 的實作方式所產生的漏洞。由於你的網站都是 CDN 的 Server 代替使用者送出請求,那你要怎麼取得使用者真實 IP 呢?這時 CDN 通常就會在 Request Header 中塞入一個自定義的 Header 來傳遞,原理與 Proxy 的 X-Forwarded-For Header 差不多(有興趣的話,推薦延伸閱讀:如何正確的取得使用者 IP),例如 CF 就會使用 CF-Connecting-IP 這個 Header 來傳遞使用者 IP,我們就可以從這個 Header 中取得使用者的 IP。
距離今年 AIS3 已經結束一個月了,還都收到了第二張結業證書,一定是提醒我該開始來補坑(๑•ั็ω•็ั๑) 今年是第一次參加 AIS3,參加的感想用一句話來說的話,就是「這真的是免費可以參加的嗎」(X),講師都是各路業界大神,真的是一個非常棒的經驗,也很感謝所有籌辦的教授、工作人員等,他們多年來的努力耕耘,讓台灣的資安界能越來越好 (´▽`)
這系列文章預計會分享一些網頁安全或是我比較感興趣的課程,不僅希望可以幫助一些也有興趣的同好,也希望透過筆記讓自己能夠溫故知新(趁自己還沒忘記之前)。
第一篇讓我直接跳到第二天的上午課程,是由 Mico 帶來的「CDN 技術所帶來的攻擊面向」,這篇會介紹 CDN 以及相關的攻擊議題,由於這堂課內容太豐富了,所以會分成兩篇。另外,這是我第一次聽 Mico 講課,不得不稱讚一下口條蠻好的,而且內容也十分淺顯易懂,人還很有趣,大推 👍
完稿後補充:結果中間太忙,打完上跟下兩篇已經是課程結束後兩個月了 XDD,不過這篇太長了,多花點時間也應該是可以接受的(吧?