iT邦幫忙

2024 iThome 鐵人賽

DAY 1
0
Security

你的程式真的安全嗎?從資安的角度做 code review系列 第 1

程式安全練習入門,一個適合所有資安人的超棒平台:secure code warrior

  • 分享至 

  • xImage
  •  

引言

本次鐵人賽會透過介紹叡揚資訊主辦之活動、使用叡揚資訊代理之產品 secure code warrior,一起精進程式安全能力!文章內容涉及平台使用介面、程式碼區塊全都是今年 6 月時擷取自 Secure Code Warrior 線上安全程式培訓平台,再利用這兩個月整理編寫而成,先聲明完全不是業配,是我自己體驗過很喜歡,而且收穫良多,與叡揚資訊發信詢問獲得同意後自主發布分享的內容~

平台使用動機

因為想要擺脫資安工具仔轉職成為安全研究員,第一步就是磨練自己的程式能力了,寫程式的同時當然也要安全才行,正在想要怎麼訓練程式安全的時候,就剛好在 6 月初被FB的廣告打到,這個活動是 叡揚資訊的「資安達人養成計畫」 及其互動平台 secure code warrior,可以免費試用大約一個月(2024/5/13-2024/06/17),最後還有個「資安戰士挑戰賽」,之後會分享比賽的相關心得及規則賽制等等,都幫助想學習資安的使用者培養安全程式碼撰寫的能力~

這個平台超好用,不僅使用者介面很淺顯易懂、支援超多訓練,互動上也很流暢,互動模式還有很多種,一一介紹給大家!

平台畫面介紹(擷取自 Secure Code Warrior 線上安全程式培訓平台)

根據上方橫幅由左而右一一介紹:

【首頁】
登入後的第一個介面,因為當時截圖的時候剛好是比賽進行期間,所以有一些特殊活動
messageImage_1718444438567

引導式學習內有 【計畫】、【課程】、【測驗】

  • 計畫:本次的彩蛋培訓計畫使用這個模組來規劃培訓升級之路
  • 課程:培訓計畫中的課程,這次以漏洞 Top 3 為主來建立
  • 測驗:測驗培訓成果用,本次參賽證明及研習證明也用此功能來提供

【訓練】
這裡支援很多語言可以練習,據官方說法有超過 60 種語言及框架,涵蓋 155 種以上的漏洞類別
messageImage_1718444421620

我是選擇C++語言作為訓練,官方依照OWASP top10將訓練流程模組化,每完成一個右上就有一個小小的金色盾牌,看起來就很有成就感:3
messageImage_1718444511524

進入模組頁面後有看起來很酷的世界地圖,點地圖上小圖示和左下任務列表可以接任務,右側有排行榜
https://ithelp.ithome.com.tw/upload/images/20241007/20166490rMbZDTFA26.jpg

平台於「訓練」模組內的規畫安排是依照「識別漏洞>找出漏洞>修補漏洞」順序去做安排,互動類型有三種,分別是漏洞類型選擇、漏洞程式碼區塊選擇跟漏洞程式碼修補,前兩種出現在第一關,最後一種出現在第二關(總是要先知道是什麼漏洞哪裡有洞才能修嘛~)

(第一關)第一種:漏洞類型選擇 - 識別漏洞
左側可以選擇反白區塊中是哪種漏洞類型,每個漏洞都有對應的學習資源aka教學影片可以看
messageImage_1718441027083

(第一關)第二種:漏洞程式碼區塊選擇 - 找出漏洞
點選圖中紅框的每一個代碼塊來辨識哪裡會有題目指定類型的漏洞,題目在紅框的左側
messageImage_1718442355478

(第二關)第三種:漏洞程式碼修補 - 修補漏洞
根據選出的錯誤區塊進行修補,有四種解決方案,選擇最安全的方案,這邊有個作答小技巧就是程式碼能改越少越好XD
messageImage_1718443148193

【探索】
這邊因為開始使用這個平台時間比較晚時間不夠,加上自己coding能力還沒有很強所以沒有玩到這邊,但是裡面的編碼實驗室感覺很值得玩一下
messageImage_1718530219168

進到編碼實驗室後左側有引導的說明及流程,右邊可以實際撰寫程式碼加編譯,真的太酷了
messageImage_1718530273044

今天就先簡單介紹一下平台,在開始進到平台使用之前還會先介紹一些基本概念~大家明天見,我們一起進步吧!


下一篇
在正式開始之前你要了解的東西:SSDLC
系列文
你的程式真的安全嗎?從資安的角度做 code review25
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言