本篇要介紹的是讀者在大四上學期所修的一門課，也因為這門課的關係我才開始接觸網路安全以及 AIS3，如果剛好有北科大的學弟妹看到這篇文章，也可以考慮修看看這門課喔！

進入正題

在大四上學期的加退選期間，EC 告訴我他加簽了一門資財系開的網路與系統安全，學期末會開一個 CTF 競賽作為你的期末成績。
於是我跟 EC 以及一個路人甲同學就一起加選了這門課！

BTW. 路人甲在繳交完第一次作業以後就受不了所以退選了，所以在這邊才會用路人甲稱呼他 (偷嘴)。

什麼是 CTF

CTF (Capture The Flag) 一詞是從模擬戰爭中的搶旗模式發展出來的，一般來說，CTF 競賽有兩種比賽方式：
1. 挑戰舉辦單位設計的題目
題目通常會是一個檔案或是目標網址，參加者需要找到題目的漏洞 (根據標題或是題目猜測漏洞類型) 想辦法攻擊他拿到 flag。
2. 攻防戰
參賽隊伍各持有一台有漏洞的主機，比賽期間需要一邊補漏洞、一邊攻擊其他參賽選手。

關於詳細的 CTF 介紹，可以參考其他前輩的鐵人賽文章 CTF 的三十道陰影。

課堂教什麼

整學期教了： (沒有照順序)

• 密碼學基礎 & 爆破
• 情資搜集
• 滲透測試
• OWASP Top 10
• Metasploit 使用技巧
• Shell code 撰寫技巧
• XSS
• SQL Injection

其中有部分是由安華聯網的技術長來上課，其他都是由魏教授親自教授。
然後課堂會提供雲端資安攻防平台的帳號密碼，讓我們有現成的 VM (Kali or Windows 靶機) 可用。

作業 & 報告

• 資訊搜集
  練習使用 SHODAN 以及 Nmap 等工具。
• 攻擊靶機以重現 BlueKeep
  練習 metasploit。
• 弱點掃描
  練習使用 Openvas。
• 期末報告
  介紹金融業遇到的攻擊事件，並且盡可能的講解攻擊原理。

期末發生的小插曲

因為我跟 EC 覺得介紹攻擊事件還蠻無聊的 (大家介紹的案件都差不多)，又剛好我在前陣子閒閒沒事做時不小心挖到了真實世界的網站漏洞 (SQL Injection)，所以我們就決定報告我已經回報給 HITCON ZeroDay 的漏洞。
結果老師聽完報告以後說: 這組同學實驗精神可嘉，但是做了最壞的示範 (攻擊真實世界的電腦)，這樣如果被測試方真要追究起來，就算我們有將漏洞回報也沒有用。

看的出老師真的是又開心又替我們緊張，還跟我們交換了聯絡方式並交代我們如果被警察約去喝咖啡記得馬上聯絡他。

總結

本日的故事就到這邊結束，未來幾天也會再提到網路安全的部分，有興趣的讀者可以期待一下(?)