本次鐵人賽會透過介紹叡揚資訊主辦之活動、使用叡揚資訊代理之產品 secure code warrior,一起精進程式安全能力!文章內容涉及平台使用介面、程式碼區塊全都是今年 6 月時擷取自 Secure Code Warrior 線上安全程式培訓平台,再利用這兩個月整理編寫而成,先聲明完全不是業配,是我自己體驗過很喜歡,而且收穫良多,與叡揚資訊發信詢問獲得同意後自主發布分享的內容~
因為想要擺脫資安工具仔轉職成為安全研究員,第一步就是磨練自己的程式能力了,寫程式的同時當然也要安全才行,正在想要怎麼訓練程式安全的時候,就剛好在 6 月初被FB的廣告打到,這個活動是 叡揚資訊的「資安達人養成計畫」 及其互動平台 secure code warrior,可以免費試用大約一個月(2024/5/13-2024/06/17),最後還有個「資安戰士挑戰賽」,之後會分享比賽的相關心得及規則賽制等等,都幫助想學習資安的使用者培養安全程式碼撰寫的能力~
這個平台超好用,不僅使用者介面很淺顯易懂、支援超多訓練,互動上也很流暢,互動模式還有很多種,一一介紹給大家!
根據上方橫幅由左而右一一介紹:
【首頁】
登入後的第一個介面,因為當時截圖的時候剛好是比賽進行期間,所以有一些特殊活動
引導式學習內有 【計畫】、【課程】、【測驗】
【訓練】
這裡支援很多語言可以練習,據官方說法有超過 60 種語言及框架,涵蓋 155 種以上的漏洞類別
我是選擇C++語言作為訓練,官方依照OWASP top10將訓練流程模組化,每完成一個右上就有一個小小的金色盾牌,看起來就很有成就感:3
進入模組頁面後有看起來很酷的世界地圖,點地圖上小圖示和左下任務列表可以接任務,右側有排行榜
平台於「訓練」模組內的規畫安排是依照「識別漏洞>找出漏洞>修補漏洞」順序去做安排,互動類型有三種,分別是漏洞類型選擇、漏洞程式碼區塊選擇跟漏洞程式碼修補,前兩種出現在第一關,最後一種出現在第二關(總是要先知道是什麼漏洞哪裡有洞才能修嘛~)
(第一關)第一種:漏洞類型選擇 - 識別漏洞
左側可以選擇反白區塊中是哪種漏洞類型,每個漏洞都有對應的學習資源aka教學影片可以看
(第一關)第二種:漏洞程式碼區塊選擇 - 找出漏洞
點選圖中紅框的每一個代碼塊來辨識哪裡會有題目指定類型的漏洞,題目在紅框的左側
(第二關)第三種:漏洞程式碼修補 - 修補漏洞
根據選出的錯誤區塊進行修補,有四種解決方案,選擇最安全的方案,這邊有個作答小技巧就是程式碼能改越少越好XD
【探索】
這邊因為開始使用這個平台時間比較晚時間不夠,加上自己coding能力還沒有很強所以沒有玩到這邊,但是裡面的編碼實驗室感覺很值得玩一下
進到編碼實驗室後左側有引導的說明及流程,右邊可以實際撰寫程式碼加編譯,真的太酷了
今天就先簡單介紹一下平台,在開始進到平台使用之前還會先介紹一些基本概念~大家明天見,我們一起進步吧!