changed a year ago
Published Linked with GitHub

Cybersecurity

資訊安全入門講座 @ 竹北高中

講者:Sean 韋詠祥


投影片連結:https://hackmd.io/@Sean64/sec-cpshs2023
直播連結:YouTube @Sean-Wei

Note:
2023-05-06(六)

時間規劃

08:45 - 09:00 報到
09:00 - 09:15 開場
09:15 - 09:45 認識 Linux 環境
09:45 - 10:00 資安競賽概覽
10:00 - 10:30 Web 網頁安全 (Part 1)
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:15 - 12:00 Misc 其他通靈題型

12:00 - 13:00 用餐休息與交流時間

13:00 - 13:45 Web 網頁安全 (Part 2)
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:15 - 15:00 Forensic 數位鑑識
15:00 - 15:30 Web 網頁安全 (Part 3)
15:30 - 15:45 總結、延伸學習資源
15:45 - 16:00 QA、自由練習

行事曆:
https://calendar.google.com/calendar/event?eid=MmtkZ3QzaW9zcHA2ZzYzNHRzNGk4ZXJ2aGcgbWVAc2Vhbi50YWlwZWk

校網公告:
https://www.cpshs.hcc.edu.tw/ischool/public/news_view/show.php?nid=6858

報名表單:
https://forms.gle/rERWYg9mfsgbZGgf7

講者介紹

  • 交大資工大四 Sean Wei 韋詠祥

Note:
開場 15 min
08:45 - 09:00 報到
09:00 - 09:15 開場

  • 交大 資安檢測員 竹苗區網
  • 行政院 網路攻擊手 政府弱掃
  • CEH 技術、(ISC)² CC 管理
  • SITCON 2022 議程組長

什麼是資安?

又為何想學習資安

Note:
VPN 保護上網安全
小米華為資安疑慮

認識 Linux 指令環境

請打開 Git Bash

Note:
09:15 - 09:45 認識 Linux 環境
09:15 - 09:20 基本指令
09:20 - 09:25 多行指令
09:25 - 09:45 進階指令

Linux 基本指令

  • 三大作業系統簡介
  • Linux 指令慣例用法

Note:
09:15 - 09:45 認識 Linux 環境
09:15 - 09:20 基本指令

ls, pwd, cd
ls -l ~

多行指令

  • Linux 指令核心精神

Note:
09:15 - 09:45 認識 Linux 環境
09:20 - 09:25 多行指令

| head, tail, less, grep
pwd; ls

Busybox

Note:
09:15 - 09:45 認識 Linux 環境
09:25 - 09:45 進階指令

whois twnic.net.tw gamer.com.tw
strings

進階指令

krother/bash_tutorial

cd ~/Documents/
git clone https://github.com/krother/bash_tutorial.git
cd bash_tutorial/
cd exercises/
cd exercise_1/

Note:
09:15 - 09:45 認識 Linux 環境
09:25 - 09:45 進階指令

資安競賽概覽

Cybersecurity Contest

Note:
09:45 - 10:00 資安競賽概覽
09:45 - 09:50 bug bounty
09:50 - 09:55 CTF 概覽
09:55 - 10:00 類型簡介

資安競賽類型

  • Bug Bounty 賞金獵人
  • Capture the Flag (CTF)

Note:
09:45 - 10:00 資安競賽概覽
09:45 - 09:50 bug bounty

Bug Bounty 賞金獵人

Apple 為例

$500,000 美金 = ~1,500 萬台幣

Note:
09:45 - 10:00 資安競賽概覽
09:45 - 09:50 bug bounty

Capture the Flag (CTF) 又分為

  • Attack and Defense 攻防賽
  • King of the Hill 爭霸戰
  • Jeopardy 解謎賽

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

Attack and Defense (A&D)

  • 主辦單位提供機器/服務
  • 自行研究漏洞
  • 幫服務上 patch(補丁)

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

HITCON DEFENSE

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

King of the Hill (KoH)

  • 主辦單位提供幾個服務
  • 看誰程式最短、撐得久、速度快、最接近完美
  • 通常沒有標準解

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

KoH 題目舉例

  • 用最少步數解出 Wordle
  • 執行任何指令,讓自己程式存活最久
  • 植入後門,讓首頁出現自家隊伍名稱

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

Jeopardy

  • 大家解同一套題組
  • 通常各題分數與難度相關
  • 最常見的競賽類型
  • 找到長得像 FLAG{printable} 的字串

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

Jeopardy 常見形式 - CTFd

Note:
09:45 - 10:00 資安競賽概覽
09:50 - 09:55 CTF 概覽

Jeopardy 基本分類

  • Reverse 逆向工程
  • Binary 執行檔滲透
  • Web 網頁安全
  • Crypto 密碼學
  • Forensic 數位鑑識
  • Misc 其他通靈題型

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Reverse 逆向工程

  • 給一個執行檔,回推原始碼
  • 先備知識:看得懂組合語言、熟悉各語言特性

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Binary 執行檔滲透

  • 看懂程式碼後,找出漏洞並破解
  • 通常需要 RCE 執行特定程式碼
  • 先備知識:Reverse、系統架構

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Web 網頁安全

  • 通常會是一個有資安漏洞的網站
  • Flag 可能藏在原始碼、設定檔、資料庫等
  • 先備知識:了解常見開發問題

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Crypto 密碼學

  • 通常會給加密用腳本、密文
  • 自己找出實作瑕疵、可逆函式
  • 先備知識:比較吃數學基礎

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Forensic 數位鑑識

  • 提供數位檔案,從蛛絲馬跡找出答案
  • 例如被駭侵的電腦映像檔
  • 先備知識:工具使用、系統架構

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Misc 其他通靈題型

  • 無法被歸到特定類別
  • 所有天馬行空的題目

Note:
09:45 - 10:00 資安競賽概覽
09:55 - 10:00 類型簡介

Web 網頁安全

(Part 1)

Note:
10:00 - 10:30 Web 網頁安全 (Part 1)
10:00 - 10:10 F12 + HTML 教學
10:10 - 10:20 BAC + JS 教學
10:20 - 10:30 cmdi + PHP 講解

Welcome to CTF

請開啟 https://ctf.sean.cat/ 第一題

Flag 格式為 FLAG{Print@b1e}

Note:
10:00 - 10:30 Web 網頁安全 (Part 1)
10:00 - 10:10 F12 + HTML 教學

Broken Access Control

Note:
10:00 - 10:30 Web 網頁安全 (Part 1)
10:10 - 10:20 BAC + JS 教學

Sean CTF 第二題

Command Injection

Note:
10:00 - 10:30 Web 網頁安全 (Part 1)
10:20 - 10:30 cmdi + PHP 講解

Sean CTF 第三題

Crypto 密碼學

(Part 1)

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:30 - 10:35 摩斯電碼
10:35 - 10:40 國際手旗信號、國際信號旗
10:40 - 10:45 信號旗例題
10:45 - 10:50 豬圈密碼、例題
10:50 - 10:55 Caesar
10:55 - 11:00 Ecoji
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

摩斯電碼

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:30 - 10:35 摩斯電碼

摩斯電碼 / 摩斯密碼
後面 Encode Encrypt Hash 會提到

https://web.northeastern.edu/stemout/morse-code

摩斯電碼例題

Morse code

..-. .-.. .- --. {
.... . .-.. .-.. --- _
.-- --- .-. .-.. -.. }

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:30 - 10:35 摩斯電碼

國際手旗信號

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:35 - 10:40 國際手旗信號、國際信號旗

https://zh.wikipedia.org/zh-tw/旗語

國際信號旗

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:35 - 10:40 國際手旗信號、國際信號旗

https://en.wikipedia.org/wiki/File:ICS-flags.png

信號旗例題

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:40 - 10:45 信號旗例題

豬圈密碼

Pigpen cipher

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:45 - 10:50 豬圈密碼、例題

https://en.wikipedia.org/wiki/Pigpen_cipher

豬圈密碼變種

Templar cipher

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:45 - 10:50 豬圈密碼、例題

https://en.wikipedia.org/wiki/Pigpen_cipher

豬圈密碼例題

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:45 - 10:50 豬圈密碼、例題

https://v2.cryptii.com/text/pigpen

凱薩密碼

Caesar cipher

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:50 - 10:55 Caesar

https://en.wikipedia.org/wiki/File:Caesar_cipher_left_shift_of_3.svg

凱薩密碼解法

Frequency Analysis

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:50 - 10:55 Caesar

https://commons.wikimedia.org/wiki/File:English_letter_frequency_percentages.png

凱薩密碼例題

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:50 - 10:55 Caesar

Ecoji 表符編碼

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:55 - 11:00 Ecoji

Ecoji 例題(同上)

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
10:55 - 11:00 Ecoji

編碼、加密、雜湊、壓縮、混淆

  • Encode / Decode
  • Encrypt / Decrypt
  • Hash
  • Compress / Decompress
  • Obfuscate / Deobfuscate

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

編解碼、加解密

  • Encode / Decode
  • Encrypt / Decrypt

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

base64 在下一部分 Misc 會講

摩斯電碼、信號旗、網址
Caesar、RSA
MD5、SHA-256

判讀練習

中冰紅、大涼咖、雞堡蛋

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

大冰奶、餐廳簡寫

豫章高職 餐廳服務流程
http://www.ycvs.ntpc.edu.tw/ezfiles/0/1000/img/67/138635961.pdf

Hash 雜湊

  • 可接受任意長度的輸入資料
  • 輸出固定長度的雜湊值

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

MD5、SHA-256
身分證字號
校驗碼

下午補充

Compress / Decompress

壓縮 / 解壓縮

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

Obfuscate / Deobfuscate

程式碼混淆

Note:
寫爛 code

https://zh.wikipedia.org/zh-tw/国际C语言混乱代码大赛

Note:
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:00 - 11:15 編碼、加密、雜湊、壓縮、混淆

Misc 其他通靈題型

45 min

Note:
11:15 - 12:00 Misc 其他通靈題型
11:15 - 11:25 Base64
11:25 - 11:35 corgi can fly
11:35 - 11:45 television
11:45 - 11:50 QR code
11:50 - 12:00 合照、放飯

Base64

使用 A-Z, a-z, 0-9, +, / 以及 = 編碼

Note:
11:15 - 12:00 Misc 其他通靈題型
11:15 - 11:20 Base64

https://zh.wikipedia.org/zh-tw/Base64

Base64 變種

  • Base16 (Hexadecimal):0-9, A-F
  • Base32:A-Z, 2-7
  • Base36:0-9, A-Z
  • Base58:Base64 少掉 0O, Il, +/

Note:
11:15 - 12:00 Misc 其他通靈題型
11:15 - 11:20 Base64

skipped: ASCII85、uuencoding、xxencoding

Base64 例題

S0pWWFFRU1NHT
lpXV1dTVkpaCj
RVMk1LU01aTkV
LUVJRQkpJVgpN
T0RZTUpXRFMyS
1JMQkhHWVMKTF
pKWTRVR1paNUh
VRkE9PT09Cg==

Note:
11:15 - 12:00 Misc 其他通靈題型
11:15 - 11:25 Base64

corgi can fly

題目:Hackme CTF #2

工具:https://ctf.sean.cat/Stegsolve.jar

Note:
11:15 - 12:00 Misc 其他通靈題型
11:25 - 11:35 corgi can fly

television

題目:Hackme CTF #3

Note:
11:15 - 12:00 Misc 其他通靈題型
11:35 - 11:45 television

Git Bash 沒有 strings
可用 grep -a 代替

QR code 原理

Note:
11:15 - 12:00 Misc 其他通靈題型
11:45 - 11:50 QR code
11:50 - 12:00 合照、放飯

https://blog.inndy.tw/2016/11/29/how-does-qrcode-works/

QR code 修復

Note:
11:15 - 12:00 Misc 其他通靈題型
11:45 - 11:50 QR code
11:50 - 12:00 合照、放飯

用餐休息與交流

下午將於 13:00 開始
歡迎與身邊同學切磋交流

Note:
08:45 - 09:00 報到
09:00 - 09:15 開場
09:15 - 09:45 認識 Linux 環境
09:45 - 10:00 資安競賽概覽
10:00 - 10:30 Web 網頁安全 (Part 1)
10:30 - 11:15 Crypto 密碼學 (Part 1)
11:15 - 12:00 Misc 其他通靈題型

12:00 - 13:00 用餐休息與交流時間

13:00 - 13:45 Web 網頁安全 (Part 2)
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:15 - 15:00 Forensic 數位鑑識
15:00 - 15:30 Web 網頁安全 (Part 3)
15:30 - 15:45 總結、延伸學習資源
15:45 - 16:00 QA、自由練習

文章選讀

Web 網頁安全

(Part 2)

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:00 - 13:05 Path Traversal
13:05 - 13:10 Grafana
13:10 - 13:20 Code review
13:20 - 13:25 URL encoding
13:25 - 13:30 Unicode、UTF-8
13:30 - 13:35 Code review
13:35 - 13:40 Apache 2.4.49
13:40 - 13:45 Apache 2.4.50

https://hackmd.io/@Sean64/SQLab-Web

Path Traversal

路徑遍歷

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:00 - 13:05 Path Traversal

https://medium.com/sean/path-238218d5115d

Grafana

CVE-2021-43798

💡 用 "curl --path-as-is" 保留 "../" 路徑

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:05 - 13:10 Grafana

Sean CTF 第七題

修復方式

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:10 - 13:20 Code review

發生原因

filepath.Join 處理使用者輸入有風險

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:10 - 13:20 Code review

關於 "Rel" 的用途

func Rel(basepath, targpath)

/* Join(basepath, Rel(basepath, targpath)) == targpath */

回傳「某個相對路徑」,這個相對路徑在以 basepath 為出發點時,會得到 targetpath

如果解不出答案,則回傳錯誤

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:10 - 13:20 Code review

再看一次修復方式

執行前先檢查是否為相對路徑

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:10 - 13:20 Code review

URL 編碼

URL Encoding

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:20 - 13:25 URL encoding

ASCII 編碼

American Standard Code for Information Interchange

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:25 - 13:30 Unicode、UTF-8

Unicode 萬國碼

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:25 - 13:30 Unicode、UTF-8

UTF-8

Unicode Transformation Format - 8-bit

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:25 - 13:30 Unicode、UTF-8

補充:Big5 排序

Apache 2.4.49

CVE-2021-41773

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:30 - 13:35 Code review

第八題

修復方式

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:30 - 13:35 Code review

第八題

似乎有點眼熟

嘗試使用 "%2e" 來繞過系統

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:35 - 13:40 Apache 2.4.49

第八題

Apache 2.4.50 (嗯?)

CVE-2021-42013

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:40 - 13:45 Apache 2.4.50

第九題

發生原因

讓我們再看一次 Patch(補丁)

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:40 - 13:45 Apache 2.4.50

第九題

修復方式

確保 "%" 後面兩個字只能是 0-9a-fA-F

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:40 - 13:45 Apache 2.4.50

第九題

嘗試再次攻擊

使用 "%%32%65" 進行 double encode(雙重編碼)

Note:
13:00 - 13:45 Web 網頁安全 (Part 2)
13:40 - 13:45 Apache 2.4.50

第九題

Crypto 密碼學

(Part 2)

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:45 - 13:55 RSA
13:55 - 14:00 ECC
14:00 - 14:10 Hash
14:10 - 14:15 quip qiup

RSA 原理

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:45 - 13:55 RSA

key1 = (e, n), key2 = (d, n)

m 明文, c 密文, n 模數
e 加密指數, d 解密指數

n = p q
ϕ(n) = (p−1) (q−1)
e 跟 ϕ(n) 互質

https://hackernoon.com/how-does-rsa-work-f44918df914b

RSA 例題

https://hackmd.io/@Koios/RSA

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:45 - 13:55 RSA

Diffie-Hellman 金鑰交換

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:55 - 14:00 ECC

https://en.wikipedia.org/wiki/Diffie–Hellman_key_exchange

ECC 橢圓曲線

Elliptic-Curve Cryptography

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:55 - 14:00 ECC

https://fangpenlin.com/posts/2019/10/07/elliptic-curve-cryptography-explained/

ECDH 金鑰交換

Elliptic-curve Diffie–Hellman

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
13:55 - 14:00 ECC

https://fangpenlin.com/posts/2019/10/07/elliptic-curve-cryptography-explained/

Hash 雜湊

Avalanche Effect

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:00 - 14:10 Hash

https://en.wikipedia.org/wiki/Cryptographic_hash_function

Hash 雜湊

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:00 - 14:10 Hash

Stream Cipher

https://en.wikipedia.org/wiki/Cryptographic_hash_function

Hash 例題

請破解以下密碼

username md5_password
alice cffbad68bb97a6c3f943538f119c992c
bob a2eda25e9bd2d4a4a1a182cb4d59c16a
carol bed128365216c019988915ed3add75fb

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:00 - 14:10 Hash

Hash 使用問題

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:00 - 14:10 Hash

PHP hash_equals()

https://news.ycombinator.com/item?id=9484757

BCrypt

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:00 - 14:10 Hash

salt concept

cost factor N = 2^N rounds
recommended: 250 ms / 1000 ms

https://asecuritysite.com/encryption/bcrypt

quip qiup

https://quipqiup.com/

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:10 - 14:15 quip qiup

https://quipqiup.com/

quip qiup 例題

hzsrnqc klyy wqc flo mflwf ol zqdn nsoznj
wskn lj xzsrbjnf, wzsxz gqv zqhhnf ol ozn
glco zlfnco hnlhrn; nsoznj jnrqosdnc lj fnqj
kjsnfbc, wzsxz sc xnjoqsfrv gljn efeceqr.
zn rsdnb qrlfn sf zsc zlecn sf cqdsrrn jlw,
wzsoznj flfn hnfnojqonb. q csfyrn blgncosx
cekksxnb ol cnjdn zsg. zn pjnqmkqconb qfb
bsfnb qo ozn xrep, qo zlejc gqozngqosxqrrv
ksanb, sf ozn cqgn jllg, qo ozn cqgn oqprn,
fndnj oqmsfy zsc gnqrc wsoz loznj gngpnjc,
gexz rncc pjsfysfy q yenco wsoz zsg;

Note:
13:45 - 14:15 Crypto 密碼學 (Part 2)
14:10 - 14:15 quip qiup

Sean CTF Caesar

Forensic 數位鑑識

Note:
14:15 - 15:00 Forensic 數位鑑識
14:15 - 14:20 stego-cat
14:20 - 14:30 PDF masking
14:30 - 14:35 PDF, JPG Metadata
14:35 - 14:40 EXIF
14:40 - 14:45 圖號座標
14:45 - 14:50 boarding pass
14:50 - 15:00 binwalk

Steganography 隱寫術

Note:
14:15 - 15:00 Forensic 數位鑑識
14:15 - 14:20 stego-cat

Sean CTF 第六題

遮蔽敏感資訊

題目:Google Slide

Note:
14:15 - 15:00 Forensic 數位鑑識
14:20 - 14:30 PDF masking

Copy to my drive
Download as PPTX
Download as PDF

圖片 EXIF 中繼資料

Note:
14:15 - 15:00 Forensic 數位鑑識
14:30 - 14:35 PDF, JPG Metadata

PDF 中繼資料

Note:
14:15 - 15:00 Forensic 數位鑑識
14:30 - 14:35 PDF, JPG Metadata

EXIF 地理資訊

Note:
14:15 - 15:00 Forensic 數位鑑識
14:35 - 14:40 EXIF

https://www.intego.com/mac-security-blog/how-to-remove-gps-location-data-from-photos-on-iphone-or-mac/

EXIF 地理資訊例題

Note:
14:15 - 15:00 Forensic 數位鑑識
14:35 - 14:40 EXIF

Sean CTF 第六題

台電圖號座標

Note:
14:15 - 15:00 Forensic 數位鑑識
14:40 - 14:45 圖號座標

https://www.facebook.com/TaiwanPowerCompany/photos/a.430823640061/10158061544395062/

台電圖號座標


Note:
14:15 - 15:00 Forensic 數位鑑識
14:40 - 14:45 圖號座標

https://blog.xuite.net/lw8930/twblog1/123375601

圖號座標例題

Note:
14:15 - 15:00 Forensic 數位鑑識
14:40 - 14:45 圖號座標

http://www.cityyeast.com/passion3_show.php?passion3type_id2=108&passion3_id=1559

登機證條碼

Note:
14:15 - 15:00 Forensic 數位鑑識
14:45 - 14:50 boarding pass

https://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/

登機證條碼

Note:
14:15 - 15:00 Forensic 數位鑑識
14:45 - 14:50 boarding pass

https://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/

binwalk

題目:CTF Learn #108

圖片:https://ctf.sean.cat/binwalk.jpg
工具:https://ctf.sean.cat/binwalk.zip

Note:
14:15 - 15:00 Forensic 數位鑑識
14:50 - 15:00 binwalk

Web 網頁安全

(Part 3)

Note:
15:00 - 15:30 Web 網頁安全 (Part 3)
15:00 - 15:15 XSS + JS 教學
15:15 - 15:20 BAC - 2
15:20 - 15:30 picoCTF 練習

XSS

Cross-Site Scripting

Note:
15:00 - 15:30 Web 網頁安全 (Part 3)
15:00 - 15:15 XSS + JS 教學

Sean CTF 第四題

Login

題目:picoCTF login

Note:
15:00 - 15:30 Web 網頁安全 (Part 3)
15:15 - 15:20 BAC - 2

picoCTF 練習

Note:
15:00 - 15:30 Web 網頁安全 (Part 3)
15:15 - 15:30 Buffer

總結

延伸學習資源

Note:
15:30 - 15:45 總結、延伸學習資源
15:30 - 15:35 CTF 練習平台
15:35 - 15:40 延伸閱讀
15:40 - 15:45 AIS3 影片

PicoCTF

解題網址:https://play.picoctf.org/

Note:
15:30 - 15:45 總結、延伸學習資源
15:30 - 15:35 CTF 練習平台

Hackme CTF

解題網址:https://ctf.hackme.quest/

Note:
15:30 - 15:45 總結、延伸學習資源
15:30 - 15:35 CTF 練習平台

CTFtime

網址:https://ctftime.org/

Note:
15:30 - 15:45 總結、延伸學習資源
15:30 - 15:35 CTF 練習平台

延伸閱讀

Note:
15:30 - 15:45 總結、延伸學習資源
15:35 - 15:40 延伸閱讀

AIS3 新型態資安暑期課程

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

報名網址:https://ais3.org/

Note:
15:30 - 15:45 總結、延伸學習資源
15:40 - 15:45 AIS3 影片

今年報名 4/26 已截止

Q&A

自由練習、歡迎提問


投影片連結:https://hackmd.io/@Sean64/sec-cpshs2023


CC-BY 4.0

這份投影片以 創用 CC - 姓名標示 授權公眾使用,原始碼及講稿請見 此連結

Note:
15:45 - 16:00 QA、自由練習

Select a repo