2023-01-14 00:00   DEVCORE 2023 第三屆實習生計畫    #DEVCORE #安全文章 DEVCORE 創立迄今已逾十年，持續專注於提供主動式資安服務，並致力尋找各種安全風險及漏洞，讓世界變得更安全。為了持續尋找更多擁有相同理念的資安新銳、協助學生建構正確資安意識及技能，我們成立了「戴夫寇爾全國資訊安全獎學金」，2022 年初也開始舉辦首屆實習生計畫，目前為止成果頗豐、超乎預期，第二屆實習生計畫也將於今年 2 月底告一段落。我們很榮幸地宣佈，第三屆實習生計畫即將登場，若您期待加入我們、精進資安技能，煩請詳閱下列資訊後來信報名！實習內容本次實習分為 Binary 及 Web 兩個組別，主要內容如下： Binary以研究為主，在與導師確定研究標的後，分析目標架構、進行逆向工程或程式

2023-01-12 00:00   DEVCORE Conference 2023 即日起開放報名    #DEVCORE #安全文章 DEVCORE 很高興地宣佈，純攻擊導向的專業技術研討會 DEVCORE Conference，在暌違三年後，將於 3 月 10 日至 ３ 月 11 日於台北 TICC 國際會議中心再次盛大舉行，即日起開放報名，同時為慶祝 DEVCORE 創立十週年，除了原有的駭客技術議程外，特別加開企業場。「DEVCORE 十年來持續提供企業頂尖的主動式資安服務，很高興看到資安與紅隊演練日漸受到台灣業界與政府單位重視，希望將我們一路累積的經驗與能量，不藏私地分享給所有志同道合的夥伴，共同為台灣資安產業的發展並肩作戰。」執行長暨共同創辦人翁浩正（Allen）表示。紅隊總監暨共同創辦人許復凱（Shaolin）則

2022-12-23 00:00   DEVCORE 2022 年度全國資訊安全獎學金頒獎餐敘順利落幕    #DEVCORE #安全文章 2022 年度「戴夫寇爾全國資訊安全獎學金」頒獎餐敘已於 12 月 17 日順利落幕。一路走來，無論是在我們的學習之路、創業過程中，我們都受到了來自各方的支持與協助，因此我們也希望回饋社會並培育資安人才，以獎學金的方式，協助學生建構正確資安意識及技能外，也能及早瞭解業界現況，降低產學落差。「戴夫寇爾全國資訊安全獎學金」每年補助 10 名在資安領域研究成果傑出的大專院校學生，每名頒發 2 萬元獎金，希望使這些資安界的明日之星得以無後顧之憂，專注精進資安技術，未來成為獨當一面的資安人才。此次獲獎同學遍佈全台，分別來自基隆商工資訊科、台灣師範大學資訊工程系、陽明交通大學資訊科學與工程研究所及資電亥客

2022-10-19 01:03   A New Attack Surface on MS Exchange Part 4 - ProxyRelay!    #DEVCORE #安全文章 Hi, this is a long-time-pending article. We could have published this article earlier (the original bug was reported to MSRC in June 2021 with a 90-days Public Disclosure Policy). However, during communications with MSRC, they explained that since this is an architectural design issue, lots of code

2022-09-21 00:00   DEVCORE 徵求資安研究員    #DEVCORE #安全文章 你對資安研究有滿腔熱血但卻找不到人討論嗎？常常參加各大 CTF 比賽，卻不知如何將學會的技能發揮在真實世界中嗎？你也想要為保護世界盡一份心力嗎？DEVCORE Research Team 成立數年來持續研究最前瞻的資安技術，回報過多個世界級的漏洞，在 Black Hat、DEFCON 等國際資安研討會都能看見我們的戰績，Pwnie Awards、Best Web Hacking Techniques 各種獎項我們也毫不留情地橫掃，在 Pwn2Own 駭客大賽中更是列居首位！然而，資安領域之廣、更迭速度之快，單憑寥寥數人也是力有未逮，一個人走，可以走得很快；但一群人走，可以走得更遠。故此，We

2022-08-26 22:04   戴夫寇爾持續投入資安人才培育 - 啟動全國資訊安全獎學金計劃、延續資安教育活動贊助計劃    #DEVCORE #安全文章 戴夫寇爾自 2012 年成立以來，秉持著為台灣累積更豐厚的資安競爭力，不只透過主動式資安服務協助企業檢測資安防禦，進而提升整體資安體質；同時我們也很關注資安技術人才的培育，除了擔任學術、政府單位專任講師及顧問以外，也長期支持學生時期創辦的校園資安社團 NISRA（Network and Information Security Research Association），幫助學生們從學生時代建構正確的資訊安全意識及技能外，也更早瞭解資安產業的現況，與產業界接軌。近來產業紛紛加速數位轉型腳步，資安事件頻傳，加上相關法規的增設及施行，我們也觀察到資安重要性的關注度都大幅提高，為了培養更多人可以理解

2022-08-18 00:00   Let's Dance in the Cache - Destabilizing Hash Table on Microsoft IIS    #DEVCORE #安全文章 Hi, this is my fifth time speaking at Black Hat USA and DEFCON. You can get the slide copy and video there: Let’s Dance in the Cache - Destabilizing Hash Table on Microsoft IIS (slides) Let’s Dance in the Cache - Destabilizing Hash Table on Microsoft IIS (video - TBD)As the most fundamental Data S

2022-07-25 00:00   DEVCORE 2022 第二屆實習生計畫    #DEVCORE #安全文章 DEVCORE 自 2012 成立以來已邁向第十年，我們很重視台灣的資安，也專注找出最嚴重的弱點以保護世界。雖然公司規模擴張不快，但在漸漸站穩腳步的同時，我們仍不忘初衷：從 2020 開始在輔大、台科大成立資安獎學金；在 2021 年末擴大徵才，想找尋有著相同理念的人才一起奮鬥；今年年初，我們開始嘗試舉辦第一屆實習生計畫，希望培育人才、增強新世代的資安技能，最終成果也超乎預期。於是我們決定在今年 9 月進行第二屆實習生計畫，如果您對這個計畫有興趣，歡迎來信報名！實習內容本次實習分為 Binary 及 Web 兩個組別，主要內容如下： Binary以研究為主，在與導師確定研究標的後，分析目標架

2022-03-28 23:06   Your NAS is not your NAS !    #DEVCORE #安全文章 Two years ago, we found a critical vulnerability on Synology NAS. This vulnerability can let an unauthorized attacker gain code execution on remote Synology DiskStation NAS server. We used this vulnerability to exploit Synology DS418play NAS in Pwn2Own Tokyo 2020. After that, we found the vulnerabil

2022-03-28 23:06   Your NAS is not your NAS !    #DEVCORE #安全文章 前年我們在 Synology 的 NAS 中，發現了，Pre-auth RCE 的漏洞，並在 Pwn2Own Tokyo 中，取得了 Synology DS418 play 的控制權，而成功獲得 Pwn2Own 的點數，後續也發現這個漏洞不只存在 Synology 的 NAS，也同時存在多數廠牌的 NAS 中，這篇研究將講述這漏洞的細節及我們的利用方式。此份研究亦發表於 HITCON 2021，你可以從這裡取得投影片！Network Attached Storage早期 NAS 一般用途為讓伺服器本身與資料分開也為了做異地備援而使用的設備，功能上主要單純讓使用者可以直接在網路上存取資料及分享檔

2022-01-27 14:06   DEVCORE 2022 實習生計畫    #DEVCORE #安全文章 DEVCORE 自 2012 成立以來已邁向第十年，我們很重視台灣的資安，也專注找出最嚴重的弱點以保護世界。雖然公司規模擴張不快，但在漸漸站穩腳步的同時，我們仍不忘初衷：從 2020 開始在輔大、台科大成立資安獎學金；在 2021 年末擴大徵才，想找尋有著相同理念的人才一起奮鬥；而現在，我們開始嘗試舉辦實習生計畫，希望培育人才、增強新世代的資安技能，如果您對這個計畫有興趣，歡迎來信報名！實習內容本次實習分為 Binary 及 Web 兩個組別，主要內容如下： Binary以研究為主，在與導師確定研究標的後，分析目標架構、進行逆向工程或程式碼審查。藉由這個過程訓練自己的思路，找出可能的攻擊面與

2021-08-22 00:00   A New Attack Surface on MS Exchange Part 3 - ProxyShell!    #DEVCORE #安全文章 This is a guest post DEVCORE collaborated with Zero Day Initiative (ZDI) and published at their blog

2021-08-07 00:00   ProxyLogon 僅僅只是冰山一角，一個針對 Microsoft Exchange Server 的全新攻擊面！    #DEVCORE #安全文章 Microsoft Exchange Server 作為當今世界上最常見的郵件解決方案，已經幾乎是企業以及政府每日工作與維繫安全不可或缺的一部分！在今年一月，我們回報了一系列的 Exchange Se

2021-08-06 00:00   A New Attack Surface on MS Exchange Part 1 - ProxyLogon!    #DEVCORE #安全文章 The series of A New Attack Surface on MS Exchange: A New Attack Surface on MS Exchange Part 1 - Pro

2021-08-06 00:00   A New Attack Surface on MS Exchange Part 2 - ProxyOracle!    #DEVCORE #安全文章 Hi, this is the part 2 of the New MS Exchange Attack Surface. Because this article refers to several