工作週記 - Week21(12/7 ~ 12/11)

最近找回10月中各種緊繃的感覺了，這週把四台設備測項包含架設、debug壓縮在三天內全數做完，另外也做完一份app PT檢測結果簡報，更重要的是，同時我們也回歸到撰寫手機檢測規範的懷抱了！

完美。

壓縮後省下來的時間發現還是不夠做被指派的硬體測項、設備現有測項進階研究，除了回家榨出一小時資料收集、做簡報外，只好對不起同事們，請他們最近優先處理設備檢測，因為除了要面對下禮拜滿檔的刺激感外，還有一份設備檢測報告要產....

雖然年底開始各種緊繃，不過望著旁邊的同事大大，只能說聲阿彌陀佛。

我開始有點後悔把CEH考試時間提早一個月...另外看來惡意程式分析研究要等1月中才能來慢慢玩了。

本週工作心得：

1.換個想法，很多事情就會不一樣

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week20(11/30 ~ 12/4)

這週換了點工作上的做法，原先做設備檢測時是先架好設備後，等大部分同事做完負責的測項後，才會換我做檢測，而這樣的原因是我的測項有時會弄掛設備，或干擾到其他人的檢測。

而這樣的缺點在於時間往往被限制住，若一突然有事卡在設備的專案截止日前幾天，就是各種緊繃。

審視一下自己的工作流程，發現由於我目前有倉庫管理員的身分，因此設備的第一手都是經由我，既然如此我就乾脆在設備架好的當下直接先做檢測，至於那種高風險的測項，如塞惡意firmware或插buffer overflow就等最後再做。

這禮拜試了一次這樣的做法，發現工作效率上真的有蠻大的提升，主要是緊急程度就可以自己掌握，多了可以研究App新增測項、改code的時間。

另外，最近對「每個人都有不同想法」這件事有了更深刻的體悟：

週六上CEH課程的結束後，照慣例跑去和老師聊天問問題，後來聊到課程進度有點緊迫時，老師提到有學員向他反映希望有能在課堂操作工具的機會，當下心裡有三個不解的地方。

第一，學員的考試日期是2/20，課程結束不過才12/26，有將近兩個月的時間準備，甚至還有年假時間可利用（是自己要考試，用年假時間學習我認為一點也不為過），甚至可以自己去和客服人員溝通調整考試日期，或是縮短睡眠時間，所以時間不夠我認為是學員自己的問題。

第二，工具這種東西，沒事看個man、-help、google，甚至EC-Council都有獨立提供一本工具書了，我想難度也不大。

第三，對我而言，上課的關鍵在於聽到老師幾十年的實戰經驗，如遇到DDoS實務上真正有效的阻止方式，而非書上、網路上那些連我阿嬤都知道的理論。為了考照而考照，實在不值得浪費這種時間。

證照不過是張六萬塊的紙，別人的經驗才是真正寶貴、有價值的東西。

後來想想，老師也挺為難的，一方面想跟我們補充些課外，但工作上又很常遇到的知識，一方面又要顧全所有人的想法，只能說，當學員真的輕鬆很多。

本週工作心得：

1.定期從頭到尾評估自己的工作流程，檢視能調整的地方。

2.我們不可能要求別人想法和自己一樣。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week19(11/23 ~ 11/27)

這週除了產一份App檢測報告外，也針對上週的App PT結果再做修正、新增檢測項目，同時也針對這些新增的測項，去調整檢測平台的code，也算是複習一下python。

禮拜三、四時協助RD大大替日本客戶做教育訓練，比較可惜的是逆向目前還是我的弱項，不然課程內容真的非常精實！雖說課程內容有些跟不上，不過上完後對ic逆向的流程已經有基本的概念了，收獲也是不少。

另外從禮拜六開始上CEH證照班的課程了，時間規劃上要再做些微的調整，目前還在考慮要不要花時間把每堂課的重點整理出來，畢竟除了這之外還要再花些時間預習、練習工具與考古題，不確定時間夠不夠，先試行一、兩天看看好了。

而這週比較特別的是，三年前在AISEC講座偶然認識的朋友出差到台北，有機會可以敘敘舊！聊完後一直有一個很深刻的感受：我們永遠不會知道自己未來在哪裡。

大學時我雖然讀資訊，後來以為自己會走人資，如今，我也繼續操著本科系的專業。我一直在想，如果退伍後我順利地到了DHL，現在會不會是一名稱職的教育訓練專員？如果當時應徵開元人資沒有被洗臉時，我會不會到現在還沒發現自己真正的想要的是什麼？我不知道，我只知道那不是現在。

我們生命中有太多的來不及、太多的後悔，但過去的都已經過去了，我們能夠改變的，就是每一個的現在。

本週工作心得：

1.別人可以幫你指路，但腳一直在你自己身上。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week18(11/16 ~ 11/20)

這週和RD大大開始拆智慧電視，拿著邏輯分析工具去攔截傳輸訊號，不過目前抓到的數據都顯示unknown，大大猜測應該是我焊接時可能沒焊好，才導致會有些神奇的輸出結果。

後來才知道，原來電視上的那些電路板，焊接的溫度要非常高才可以，我還傻傻的拿著一般電烙鐵直接上錫就拉線出來了...

另外這週做的App滲透測試遇到些蠻有趣的狀況，ipa和apk走的傳輸協定竟然是不一樣的，指定走同樣的方式就不能做連接，不曉得開發者當初考量的原因是什麼。後來繼續玩發現裡面還有一些設計上的錯誤，又是一個幫忙debug的節奏。

下週兩天就要當助教來教日本客戶來焊接、使用邏輯分析工具，要再來查一下烙鐵、焊錫這些專有名詞的英文怎麼唸了，希望到時候溝通時不要講的哩哩啦啦...

最近每日與每週規劃因應月底上的CEH課程，以及想研究的新領域及英文的進修，要再來做些大調整了，實在很希望每一天都能像主管大大說的一樣有48個小時。

本週工作心得：

1.不要讓自己的情緒影響到任何人。

2.我們不能預測每一個未來，但我們能改變每一個當下。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week17(11/9 ~ 11/13)

這週和公司做了試用期面談，幸好先前有寫工作週記、寄件備份有留存、有整理每天工作的事項，以及有同事們大力支援的會議期程表，所以我簡報製作起來才能這麼輕鬆。

稍微摘要這十七週的工作上的成就：

1.執行 4 款App滲透測試（含 1 款金融App）、3次金融交易網頁滲透測試，並產出 4 份檢測報告

2.執行 6 次弱點掃描，並產出 3 份弱掃報告

3.參與 13 場外部會議討論、2 場進修講座

4.執行 17 款嵌入式設備資安檢測（測項包含OWASP Top10、CWE Top25部分內容），並產出 1 份檢測報告

5.參與過 15 次教育訓練，並分享 5 次教育訓練

6.撰寫 2 份APP檢測工具使用教學、1 份App檢測SOP

7.參與手機檢測規範文件撰寫

8.參與 1 場CTF競賽

而這十七週工作之餘的成就：

1.撰寫 115 篇每日晨摘

2.分享 17 篇工作週記

3.練習 2 場CTF Wrtieup

4.閱讀 17本書籍（含 10 本資安相關）

近期在網路上看到一句話覺得很有感觸：「每天覺得忙是好事，你才會有成長的機會。就算是每天重複做一樣的事，有了時間的壓力更會讓你拼命想找出改善工作效率的方法」

在這短短三個多月的時間裡，每天都在想要怎樣在維持健康的狀況下，既能完成交付任務，又能進修多方面的技術能力，也要把知識整理後傳播出去，所以每週的規畫表一直不斷在修改完善，每天一直在想要調整工作方法加速產出效率，這一塊真的是要持續精進的部分。

這週App檢測部分因為稍微調整了測項內容，和同事開始找方法繞過憑證的驗證，不過遇到很多狀況是App在某些狀況下不走HTTP(S)協定，側錄封包的時候會稍微麻煩一點就是。

另外公司月底要替日本某家電大廠做教育訓練，之前有被指派為課堂助教，也要多撥些時間來熟練工具上的操作了（結果昨天時間太趕竟然忘了帶三用電表回家....）。

本週工作心得：

1.當沒有足夠的理由說服你支持他人時，要堅持自己認為正確的事，但同時也要能告訴對方自己堅持的原因。

2.不要單純透過文字就去推敲別人的想法。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week16(11/2 ~ 11/6)

試行兩週練習別人的CTF writeups後，發覺非常難控制在一小時內玩完，有些簡單的題目可能不到五分鐘就結束了，困難的光爬資料就花了將近一小時，更不用說整理成文章又要再花一筆時間，仔細衡量後，決定暫時花假日的時間來練習就好。

目前早上把CTF的時間拿來寫駭客入門修練場，主要是因為11月底就要開始上CEH的課程，1月就要考試，只能提早預習。每天規劃就換成早上實務練習，晚上看理論書籍。

這週一口氣測完三台設備、完成一份App檢測報告，同時文件撰寫同步進行，開始已經有點習慣這樣的步調。雖然工作項目都如期交付，但文件的撰寫上就比較難專心，導致後續又得重新確認一遍，浪費也不只我一個人的時間，這部分我該徹底檢討一下。

另外最近聽到身邊的同學有些跳槽換了不同性質的工作，或是想從事，甚至已經從事和本科無關的工作。我想，無論如何都是件好事，至少有了新的目標，並且開始往前走下去。結果也許會成功，或許會失敗，至少都是人生中一段有價值的經驗。

本週工作心得：

1.有限時間內要如何專心在眼前工作上，又要能如期完成多項任務，是一個必須學會的課題。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week15(10/26 ~ 10/30)

這週開始每天早上都會練習別人寫的CTF writeups，自己以前頂多課餘玩玩wargame，其實和CTF某一小部分是相同，絕大多數沒常玩其實不太清楚到底在幹嘛。公司平常有CTF比賽也會參加，自己打兩次都沒有什麼貢獻，就決定開始來練習了。

另外自9月底做App與Web端的PT後，這禮拜也進行了第二次的滲透測試，雖然本來不用大費周章跑過去的，畢竟對方服務已經上線，也沒提供測試用信用卡讓我們玩，所以在公司直接測就可以了，還可以順便寫寫文件....

最近報了CEH的課程，晚上也開始在看書預習，畢竟考試和上課間僅隔兩週（雖然可以排更晚，不過我有要求自己在年中的時候拿到CHFI），就只能盡量榨時間出來。

本週工作心得：

1.有時事前溝通可以減少非常多的事後成本。

2.天助自助者。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week14(10/19 ~ 10/23)

這週開始挑戰自己煮飯帶便當，主要原因是在作息緊繃的情況下，唯一能維持健康的方法剩下運動和飲食。運動部分開始把跑步調整成重訓，基本上每天還是維持20~30分鐘；飲食的部分其實在大四時就想學煮菜了，不過時間已經快學期結束，還要帶一堆開火器具實在是有點懶，再加上連放在宿舍的書都要分批載回家的情況下，就果斷放棄了。

這次會下定決心，我想一個原因是在國軍待了一年受到的刺激，因為在裡面一個禮拜吃到的菜色種類大概是我家煮十年的菜色數量，再加上老爸老媽又不愛吃菜，出了國軍我又開始懷念滿身菜味的日子，就決定自己煮了；另一個原因是前陣子翻到自己在網路上收藏的一些廚房裝潢照，憧憬未來在那樣的環境下煮菜，就想先開始練習。

除了週五公司的慶生會我沒煮之外，其他四天做的便當已覺得相對於在家裡吃來說是驚天地，泣鬼神，雖然調味上的比例還是有點難抓，不過禮拜五健檢做完看起來是沒事，那基本上大概還是人能吃的東西.....吧。

工作部分，這禮拜終於開始做了設備的檢測報告，雖然製作上感覺是比弱掃報告還要好產，但第一次做還是花了不少時間，而和弱掃報告不同的是還要出簡報，在製作漏洞修補的建議上估計是可以學到不少的實務經驗。

本週工作心得：

1.在客戶面前，務必留意自己說出口的每一句話

2.務必要過均衡的生活

3.世界上少了誰都不會停止轉動

4.好好學中文

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week13(10/12 ~ 10/16)

最近對與人溝通協調這件事上，有些心得可以分享。我們知道每個人都有自己的個性，因為環境因素而產生了不同的想法。因此，在溝通上除了要用「對方的語言」之外，更重要的是，必須知道對方堅持贊成或否對某個想法的原因，了解他顧慮的點，探究他堅持立場的原因。

千萬不要一味地表現出自己的想法比對方好，或立刻認為對方的想法不可行，而是要試著去理解對方，只要解決了對方的痛點，往往就能產生令雙方滿意的結局。

本週工作心得：

1.細節、細節、細節

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week12(10/5 ~ 10/8)

自從被時間追著跑之後，開始讓我思考如何在有限的時間內同時兼顧家庭、健康、生活、學習與工作，而通常時間安排被打亂的主要原因是在工作上，再進一步分析，會發現「提升工作效率」，是整個環節中最可控的因素。

因此，怎麼樣能在工作時能一次處理多件事、在不影響產出品質的情況下壓縮投入時間，就是我在意的部分。

目前想到的解答是：

（1）使用自動化工具

（2）不得以需手動執行時，以經驗法則快速過濾沒搞頭的參數

自動化工具稍微搜尋一下，只要關鍵字下得好，會找得到蠻多有幫助的資源；而要累積大量的經驗法則，其實靠的就是平時工作上的經驗累積，以及下班後的進修時間，這也是我一直堅持早起學東西的原因之一。

最近在知呼看到一篇「富人的思考方式是什么？」有位創業者回覆的內容寫得很不錯：

「一個人最寶貴的財富真的不是金錢，追求金錢是一個本末倒置的事情，很容易迷失自己，督促我每天睡四小時的動力，不是我每天能賺多少錢，而是我願意為我的目標做多少事，花多少時間，傾注多少心血。」

「找到目標，並實際執行」這件事，無論未來才發現與當初預期的路不符都無妨，重要的是過程中帶給你的經驗能讓你一輩子受用無窮。

在我大學剛入學時，其實並不清楚自己未來的發展、甚至是本科有什麼路可以走，因此，就自己爬文把資管系所有的出路都找一遍，找完後開始把這些出路會用到的知識買書回來自學猛啃，看不懂就再找資料學。

學著學著，覺得應該要多出去接觸比較新穎的知識，就開始經常翹課從台中跑回台北參加各種領域的講座、競賽，也認識了些朋友，雖然學費、交通花得兇，但對我當時而言覺得非常值得，即使現在也是如此，尤其能和交到的朋友教學相長，是過程中最有價值的部分。

而大二時，想再進階自己的知識，就開始準備考資管所，也是一樣買了排行前幾大資管所用的教科書回來蓋泡麵啃，每天沒課就是泡在圖書館做筆記、寫考古題。雖然後來發現研究所的目的與我最初的想法不相符就作罷，但這些知識、找資料的方法也讓我的能力更成長一些。

大三時發現自己對提升他人能力這件事很有熱忱，正好學校也開了人資課，就一路朝這方向準備到當完兵，也拿到了張「全方位基礎人資管理師」的證照。雖然和目前從事的資安領域有截然不同的方向，但現在在工作上站的視野就會變得很寬闊。

我想說的是，找到目標之後就開始去做，不要去想未來會怎樣，即便結果和你預期不符，但這些經驗卻都是能幫助你大量成長的養分。

前幾天和當兵時的學長聊天，他問我為什麼堅持睡這麼少的時間，其實後來我想想，對我而言，我也不是想獲得多大的成就，也不是想要鍛鍊肝臟，我只是每天樂在做自己喜歡做的事，想讓自己比昨天更進步不只一點點，同時把這樣的過程中記錄起來分享出去，和別人一起成長，而這正是我寫書摘、晨摘、工作週記的主要原因。

本週工作心得：

1.溝通能力有時比專業更重要

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week11(9/30 ~ 10/2)

經歷了四天連假後，回來迎接我們的，就是那苦痛X的文件，尤其放了一天的颱風假，把時程壓縮得更加緊繃，心裡想著坦完禮拜五專家們的輸出後，後續應該不會有其他的菁英怪。

但墨菲定律告訴我們，當你殘血逃跑不想被幹掉的時候，往往就是會有東西飛過來。

最近欠了很多教育訓練的簡報要分享，再加上許多沒時間完成的項目，把睡眠時間壓得有些緊繃，雖然先前是早上起來先學東西，現在早上起來先工作卻覺得一天這樣下來有些疲憊，但同事大大還已經連續幾個禮拜沒休假繼續在家工作，令我敬佩的痛哭流涕...

而也因為最近這段時間的緊繃，讓我回過頭去審思自己生活中錯過了多少美麗的事物。今天搭捷運時，才發現平時搭文湖線經過的風景，對我竟是如此的陌生。也許，我又在步伐快速的社會中迷失了自己。

工作對你的意義是什麼？如果是為了照顧家人，那麼弄壞了自己的身體、壓縮了陪伴家人的時間，或許就有些本末倒置了。但同時，我們可以來想想，在這整個流程中，我們可以改變些什麼？也許是找些工具來加速產出，或是和上級的溝通協調，又或許是可以分擔哪些項目給其他人。

近日該再來想想，生活要如何規劃調整，才能達到我想像中的未來。

各位大大們，我們繼續加油！

本週工作心得：

1.永遠不要在最後期限前才大改東西。

2.專案中最複雜的永遠是人。

3.盡可能不要透過他人傳話，或輕易聽信第二手資訊。

4.上緊了發條卻不放開的話，東西也不會轉動的。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week10(9/21 ~ 9/25)

上週替客戶做了整個禮拜的PT後，這禮拜由於文件的工作已經把我們燒到發爐了，就和主管橋成只安排兩天，一天我做APP端複測，另一天則由同事做WEB端。

文件部分，deadline實在各種緊繃，同事們每天都很拼命在趕，早上三點多開文件時都還能看到同事正在修改資料，也難怪平常聽他說假日都呈現睡死狀態.....阿彌陀佛！而PM大大則是每天都看她灌兩杯咖啡，狀態也不是很好。我能做的，也只是盡量幫他們減輕些負擔。

另外由於我們近日會幫客戶做教育訓練，我被分派到協助教學的部分，幸好協助的內容跟電子相關，高職時量測電壓、操作烙鐵的經驗可以稍微派上些用場，就先和RD大大借工具回去玩，不過在家弄了幾個小時，發現工具一直攔不到訊號，只能再找大大約時間開示了。

禮拜五時，公司辦了中秋烤肉和打漆彈的活動來熱絡同事間的感情，剛好也讓我們這些坐在辦公室的阿宅們有運動的機會。而這天我最大的敗筆就是穿了增高鞋，移動時一個move就仆街了，漆彈打完後覺得膝蓋中了一箭略痛略痛，本來不以為意，後來覺得腳好像有點濕濕的，心想我應該是不會閃尿了，正好原本發的迷彩褲有破洞，一摸膝蓋才發現有血.....

塗了教練大力推薦的「美軍打仗在用之日本製造之消炎+保護傷口+防水的」藥膏後，今天準備處理傷口時，發現這根本就是瞬間膠，無論我倒了多少的生理食鹽水，藥膏的那片黏膜和OK蹦就是一對天作之合的夫妻，怎麼樣也撕不開，後來我才想到.....靠北....教練好像有說它是防水的........

怒找外科處理後，我被醫生念了一頓，說這種東西最好用都不要用，它反而會影響皮膚的復原，接著就用鑷子直接撕開....

這個故事告訴我們，不要輕易相信漆彈教練的護理知識，千萬不要，真的！

本週工作心得：

1.在你能做到的情況下，最大限度地去維護你的健康。

2.確認好需求，比做了十種版本還重要。

3.累的時候彼此一起苦中作樂，能走得更遠。

4.很多時候，事情不是自己想像的那樣簡單。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week9(9/14 ~ 9/18)

這整個禮拜是一個整天PT的節奏，從早上直接到客戶公司測到下午，回到自己公司後和同事們寫文件到晚上，隔天醒來繼續研究有搞頭的玩具，再去客戶公司PT.....

 雖然精神有點耗弱、神智有點不清、講話不知道自己在講什麼、開始會自言自語、捷運會下錯站、文件不管怎麼寫都會回到第27頁、智商還有點退回到了當兵，不過真的學到不少實務上的經驗，也發現很多自己以前不會去想到的方向。

例如這次PT牽扯到APP、Web Application、POS三方面，每一個面向都有很多項目可以去試，就會有很多玩具可以玩，打不穿的洞就去研究對方是怎麼防、是不是還有其他猥瑣的方式可以繞過、爬相關漏洞衍伸的CVE跟POC看看還有沒有更有趣的玩法；打得穿就研究怎樣才能防、用這個方式防範了之後，是不是又有別的方式可以打進去等等，整個過程下來就是這樣不斷嘗試、研究、驗證，這禮拜又有提升了一些等級，還蠻開心的，雖然快往生了。

另外今天也參加了一場座談會，聽專家們提問與對談的過程中也學到不少思維觀點，直接站在巨人的肩膀上看世界，經驗值也狂跳了不少。

最近因為有些工作項目比較重要、緊急，所以原本是自己負責的工作就被指派給其他同事負責，說實在很過意不去，大家平常也都有自己要處理的任務，突然又再增加了工作，難免負荷太重，而也由於自己最近負責新的測試項目，再加上完全沒時間和大大交接，不能提早在家就先把工作做完，只能先爬文稍微縮短後續的交接時間。

不過我最近最想學的技能，大概是要怎樣才能像公司的大大一樣，不用睡覺又能像是個正常人一樣生活。


本週工作心得：

1.當團隊成員來自不同領域相互合作時，重要的有時是借助非技術專家的思維邏輯。

2.做任何事時，無論現在用的方法效率好壞，都應嘗試不同以往的作法。

3.要讓思維跳脫既有框架，關鍵在於發揮同理心，轉換角色立場，甚至可針對目標族群做需求訪談

4.大處著眼，小處著手。

5.做中學，往往是最有效率的學習方法。

6.事前的需求確認可以節省大量的時間。

7.不斷提問「為什麼」，往往能找到關鍵問題點所在。

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week8(9/7 ~ 9/11)

這週、下週都和同事在客戶公司裡針對App、Web做PT，先前也只有幫客戶做做弱掃，這還是我第一次外出PT！過程雖然有遇到蠻多的問題，但當作經驗學習真的收獲很多。

例如若App有做root/jb detection，我們就必須去研究對方用的方法大概會是哪些，先站在對方角度去想，基本上開發者會用最簡單、省事的方法去偵測root，我們就用相應的方法嘗試bypass。如果繞不過，再換一個方法去試，直到所有的方法都試過了還是不行的話，就從root原理、流程著手，去看root後哪部分的權限有改變、哪部分的資料夾多了什麼檔案等，畢竟我們PT還是要提供對方解決方案。

過程中我覺得很重要的是，要對整個服務的運作架構了解透徹，才可以去預期自己想要獲得的結果，再去找相應的工具，如果發現失敗了，再去研究自己可能卡在架構中的哪個環節。像這次我就在一個點上卡了很久，但其實後來發現只要把思考的層級拉高之後，看到的就會很不一樣了。

本週工作心得：

1.工作事項務必寫在隨時能看見的地方
2.讓能力足夠強大到把握住每一次的機會
3.當一個問題思考不出答案時，有時其實是自己思考的面向太過狹隘
4.親手實踐你的思路，即使錯誤也能讓你學到更多

本週工作筆記：

#因種種因素，從這週開始就不再提供工作筆記的部分

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week7(8/31 ~ 9/4)

這週除了設備檢測外，其他時間全用在文件撰寫上，所以其實也沒什麼好講的，比較值得分享的是公司今天召開了策略會議，讓大家針對未來營運方向做些發想與討論。

其實到職至今，我並不太清楚公司所有現有的產品、服務、策略方向為何，直到今天聽總經理簡報時才知道大略的情況，從中也可看出公司發展的積極性與願意傾聽基層員工意見的聲音，公司願意舉辦這樣的會議告訴大家從上至下均一視同仁的理念，是我認為非常不容易的地方。

這次分組簡報部分，自己做的部分和其他大大們相距實在太大，希望自己明年能做得更完善些。

本週工作心得：

1.把複雜的專業講到讓一般人能輕易理解，才是真的專業
2.不要等到機會來了才開始準備
3.隔行如隔山，不需以自己狹隘的角度去數落其他領域的專業
4.把事情一次就做好
5.遇到不同需求的人，就要餵給他們相應的回應

本週工作筆記：

1.EFI Shell commands -- HEXEDIT

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week6(8/24 ~ 8/28)

自上週與apk dynamic analyze的奮戰後，這週便硬嗑ipa，無奈iphone的安全上做得挺安全，基本上只能做靜態的分析，但後來稍微查了下，某大公司有在做動態檢測的服務，看來技術真的兇猛！不過價格是貴貴der 3500$ per app....

本週也錄了某廠商android、ios app的封包給主管大大分析，ios的app雖然裝起來了，但新增智慧設備的部分一直抓不到；android則是測了三隻實體手機，沒半隻和server的溝通是正常的，檢查過dns也有設好了但還是無解，後來主管大大模擬器直接adb shell進去setprop dns就搞定了...目前還沒找到為什麼我直接在wifi連接介面改dns卻連不上server的原因，推估是大大的黑黑立場比較兇殘。

另外這次產報告時遇到蠻大的問題，後來大概抓出有三個方面的原因：一是當初模板的設定上有誤，二是xlsx檔在365、2013上格式其實還是有些微的不同，三是Dradis pro上有太多資料，導致連線逾時無法上傳檔案。光找出是這三問題就弄了好一陣子，尤其是第二點，幸好還有同事幫我一起做交叉測試debug。

禮拜五、六時雙手合十、滿懷感恩的拿著同事大大轉讓的HITCON門票，又重返這個黑黑的研討會，記得上次是大三時和同學一起來的，當時還沒有社群場，因此聽得很吃力；經過兩年後的精神時光屋（其實嚴格來說是一個月...），這次R0~3場次至少還有一場可以略懂略懂，覺得已痛哭流涕。

除了演講內容外，收穫最大的是有同事大大幫我介紹給兩位黑黑認識，他們也都很樂於分享，未來可以少了很多的學習探索成本，也希望我自己之後也有能力為資安圈貢獻一點心力，現在只能利用空餘時間寫點每日晨摘、學習筆記回饋而已。

繼續衝刺拉！


本週工作心得：

1.聽到重要的話先記起來，避免重複的詢問
2.若當時間規畫妥善也無法完成任務時，也許該向外求援或提早告知延長期限
3.保有不斷問「why」的好奇心
4.K=(p+i)×s

• knowledge
• people
• information
• share

本週工作筆記：

1.iPhone上使用Burp Suite捕捉HTTPS通信包方法
2.adb命令基本操作
3.smali語法
4.dex檔案結構

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week5(8/17 ~ 8/21)

這禮拜把網路上所有能看到的mobile app dynamic tools全部玩了一遍，其實順利的話基本上三天就能搞定，但很多時候是卡在環境架設的部分，有些指定你的python版本要多少才能跑，有些錯誤訊息丟Google也無解，弄到最後android的部分跑成功的不到三套，符合主管要求的也只有一套，ios就....還是別提了，桑辛啊.....

另外這週也幹了件蠢事，同事才剛把設備架好，我想說趁現在還沒人在打，立馬搶頭香改好firmware就用力給它傳上去，結果就GG啦！做好筆錄後準備去夾蛋時，主管叫我再reset試試看，主要是因為router內還有一個內建的小firmware可用來做還原，後來用了和同事大大剛剛協助我的作法後，竟然又可以了！嗯，我想大概是門剛開吧。不過幸好，設備不用寄回給客戶了，阿彌陀佛！

從下禮拜開始，要固定來開教育訓練課程（從第二週工作週記就說要弄了），簡報內容會再丟到slideshare和部落格上，不過live demo的話我想我也懶得錄，就大家自己練習吧。

最近有兩件需要反省的事，一個是晚上的教育訓練時，同事大大很好心的逐堂課口譯課程，我卻分心在測工具，一方面不尊重他，二方面學習成效也不好，因此這週第二次上課時我就完全專心在做筆記了；第二件事是自己的能力還沒辦法很好地協助同事處理專業上的問題，要再多花時間學習的，結果這禮拜幾乎每天都不自覺地按掉四點的鬧鐘，再驚醒時已經五點多了，看起來是要再打亂節奏的時候了，從今天開始設定三點的鬧鐘！


本週工作心得：

1.不要怪別人沒教你，主動學習是你的本分
2.每一個當下都應該專注在最重要的事情上
3.當你的工作項目會影響到別人時，先詢問對方，自己在這個時間點做這件事是否會造成他的困擾
4.每做完一件事時，用不同的面向去思考是否有能改善的地方


本週工作筆記：

router reset大絕：

1.router與電腦用lan互接
2.拔掉router電源
3.壓著reset約15秒後手不放開，並把電源插回去
4.ip手動設定192.168.0.XXX，XXX不要用0或1比較保險
5.瀏覽器敲192.168.0.1

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week4(8/10 ~ 8/14)

這週主要在玩手機安全的檢測，基本上目前是針對 App 做動態測試，但工具有點太兇殘，打到手機現在都過不了電（雖然估計是充電模組往生了，換過線和充電器都無解），偏偏掛掉的手機還是大大的，不是公司提供，已哭...

這週教育訓練，同事直接 live demo 用 PL2303 進入到設備的主控介面，第一次親眼見識到硬體的破解，興奮度突破天際！幸好自己高職學電子，對硬體還算略懂略懂，就和他一起各衝一片 FT232RL 來玩。而在找晶片的過程中，發現一個以前常看到的名詞 - Arduino，稍微爬了下文發現國外早就有人用它做出能側錄 M$ 無線鍵盤輸入資料的設備了！這東西模組非常多，又是 open source，感覺可以搞出很多有趣的工具，要挪點時間來學這塊了。


本週工作心得：

1.說話、聽話時永遠放下手邊工作專注在對方身上。
2.無論工作或是討論時，先想好這件事的目的是什麼，再去找合適的方法、用對應的思考模式、做適當的行為。
3.絕對沒有用不上的知識。


本週工作筆記：

玩 mobile security 的工具大全：

1.wiki.secmobi.com
2.Mobile Security Wiki
3.DroidSec

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week3(8/3 ~ 8/7)

因應我加入的關係，主管把團隊的工作項目做了蠻大的變動，從調整的結果來看，我想大大的想法是要讓所有人熟悉不同的工作內容，之後有誰忙不過來，就可以互相cover。

經調整後，目前我的設備測項如下：

（1）不合法附檔名的上傳
（2）惡意軟體的上傳
（3）Clickjacking
（4）智慧型手機

相對其他人來說，我的測項數量比較少，不過接了手機這一大塊就有很多很多東西可以玩了。

這週老樣子去客戶那做了三次的弱掃，這部分有和同事聊過，覺得其實這樣往返做設定，基本上半天時間就不見了，除非客戶允許我們遠端，否則一定得親自跑過去一趟，如果有要用硬體檢測更是如此，嚴重壓縮工作的產能，但就目前看來，還沒有一個比較好的解決方法。

另外這禮拜也和同事到桃園出差，了解三方在合作上的狀況，就我的角度來看，似乎當初未把各自的負責項目明訂好（可能互相有認知上的落差，或不清楚這份職責的目的是要做到什麼），彼此在工作的流程上也有些誤解，導致這次的溝通上較難有共識。


本週工作心得：

1.任務、時間應做最效率化的分配
2.事前的溝通，比事後的爭執更重要
3.當事情出了問題，不是先找錯的是誰，而是先找解決辦法
4.反應問題，是每個人應有的權利與義務，當你不說話，就代表放棄了它


本週工作筆記：

在做Firmware Reverse Engineering參考到的一些資料：

1.Firmware 加载原理分析
2.[轉] 二進位實用程式(objdump, readelf,ar, nm等)
3.Firmware-Mode-Kit

如欲閱讀更多工作心得，請見 工作週記

工作週記 - Week2(7/27 ~ 7/31)

邁入上班的第二週，原本預計這週可以接同事的滲透測試，可惜主管出國，任務的重新分配得等到下週才能做調整。因此，這週的任務大致上有三項：

（1）到客戶公司做弱掃
（2）弱掃報告的產出
（3）協助資安規範的制定

弱掃報告這東西一進來就有聽聞同事說程序很麻煩，不禁心想我當兵每個月跟學長、學弟在幫那些長官產的報告、圖表才想吐血， 就不信邪的寫信跟主管說想試著產上週的弱掃報告看看，主管也就同意了。

一開始在環境架設上折騰一陣子，因為使用的傢伙都是公司的大大們寫出來的自動化工具，缺一些元件就執行不起來，再加上有很多小細節的部份沒做個幾次真的搞不定（雖然當兵在做的報告細節大概是這個的100萬倍吧），搞了兩天才把上週的報告搞定。

這週也是自己第一次單槍匹馬上陣到客戶那做弱掃，幸好筆記有做完整，當下沒出什麼問題，結果沒想到我才去完隔天就GG啦，後來聽同事說才知道，是客戶的頻寬問題，同事調整掃描參數的設定後還是無解，就先幫客戶處理比較緊急的事情－產報告。嗯，第二份....不過有了上次的經驗，這次大概半天就搞定了，不過跟同事的產出速度還是差太多了，要再多練習就是。

另外公司內部開始為期兩個月，每週上兩天，一天上三個小時的行動裝置安全相關的線上教育訓練課程，這些時間只要自己有興趣就可以到會議室上課，因為課程全英文，我的英文又是菜逼八的程度，就勞煩公司大大在每個章節後大略的翻譯，後來有同事問他說「怎麼你英文這麼強」，他只淡淡地回了句「因為他說的是英文阿」。嗯，我跪了。

來了兩個禮拜，覺得公司學習風氣很好，聽到有同事每週會強迫自己做一個主題的教學分享，我就決定也要效仿一下，假日的時候抽點空學些新玩具來分享，雖然最近被指派接行動裝置的安全部分，要花時間看Android和iOS架構，下週被主管指定要做一份報告的心得分享、出差到桃園龜山，再下下週還有研討會的心得報告，再隔一週估計還有一個，希望有時間玩新工具啊....


本週工作心得：

1.當員工遇到問題時，主管應先告知解決問題的原則性，再授權員工去做處理。
2.在報告、會議中的發言，背後都應有實質的證據或理論來支撐你的論述。
3.同一句話不要讓別人說第二次。
4.任務完成後務必告知主管狀況，若無法在期限前交付任務時，應提前通知。
5.善用你身邊的工具。
6.不要被動等待任務，主動尋找學習機會。
7.再次檢查任何人提交的任何資料。
8.信件來往前，務必搞清楚狀況、內容。
9.可以自己解決的問題盡可能不要麻煩別人。
10.學無止盡，尤其是在搞資訊的。


本週工作筆記：

1.本機與virtual box虛擬機檔案互傳的方法：

（1）打開虛擬機->裝置->共用資料夾->共用資料夾->點新增圖示

（2）選擇資料夾路徑->資料夾名稱可自訂->選項部分看自己設定，我只設定「設為永久」(重開虛擬機要再輸入下面的指令)

（3）到虛擬機找路徑新增一個共用的資料夾

（4）終端機輸入：mount -t vboxsf [本機共用資料夾的名稱] [虛擬機資料夾路徑]

#注意：本機與虛擬機設定的共享資料夾名稱不能相同

2.Android app之socket常見安全問題：

许多Android应用不正确地使用网络socket端口传入命令进行跨进程通信，而且对于本地应用环境，网络socket也先天缺乏细粒度的认证授权机制，因此把Android客户端当做服务器，使用“攻”的方法，主动向开放端口发送攻击载荷也是可行的。这种漏洞一旦存在，轻则本地提权，重则为远程利用的高危漏洞，3G移动网络允许UE互访更是加剧了这种风险。

詳細參考：浅谈Android开放网络端口的安全风险

如欲閱讀更多工作心得，請見 工作週記