iT邦幫忙

2025 iThome 鐵人賽

DAY 17
0
Security

從1到2的召喚羊駝補破網之旅系列 第 17

Day 17 :插播文[副本]資安院推動賞金獵人

  • 分享至 

  • xImage
  •  

[鐵人賽] Day 17:插播!政府主辦的資安獎金獵人(藍隊 × 紅隊螺旋訓練)

✍️ 寫在前面

原本這系列是「有什麼工作坑 → 就找 Ollama 來幫忙補」的日記流。
但這兩天看到新聞,實在忍不住插播一下 ——

👉 資安院(NICS)主辦的產品資安漏洞獵捕活動要來了!
官方已經公布:

  • 藍隊報名:114/9/25–114/10/27
  • 紅隊報名:114/11/1–115/1/25

https://ithelp.ithome.com.tw/upload/images/20251001/20165500xDB1l50AXH.jpg

相關連結:

這是政府單位舉辦、合法合規的 bug bounty,獎金也是真金白銀。
於是我決定,今天要把「白天藍隊、晚上紅隊」的想法,寫成一份螺旋式訓練的清單。


🔑 紅隊準備清單(附可丟給 LLM 的 prompt)

(保留原本八大清單,這裡略寫,完整同你前一版)

  1. 搞清楚合法性與規則
  2. 建立漏洞通報範本
  3. 技能與工具清單
  4. 測試環境與道德框架
  5. 學會風險評估與漏洞分級
  6. 文件與授權準備
  7. 成為可靠的回報者
  8. 管理收益與預期

🟦 藍隊 × 🔴 紅隊 螺旋對照表

面向 白天藍隊任務 晚上紅隊練習 螺旋迴圈收斂
規則 研讀稽核規範、資安法遵循 研讀 bounty 規則,理解測試範圍 法規與授權一致
盤點 資產盤點、弱點掃描報告解讀 OSINT、範圍列舉、服務探測 清單互補
工具 SIEM/EDR、弱點管理 Nmap、Burp、Syft、Trivy 技術互參
回報 向主管報告弱點狀態(Info/Low 居多) 向主辦方提交漏洞報告(CVSS 打分) 報告品質提升
演練 模擬事故 → IR 報告 模擬攻擊 → PoC(不含 exploit) 攻防雙驗證

📊 螺旋式流程圖

flowchart TD
    A[白天:公司藍隊防守任務] --> B[盤點 / 弱點報告解讀]
    B --> C[轉化成防守需求]
    C --> D[晚上:紅隊模擬攻擊]
    D --> E[漏洞報告與 PoC 記錄]
    E --> F[回饋藍隊強化防禦]
    F --> A

小結

原本後面繼續把每日的工作轉換為技術的分享文章,因為距離11月開始剛好還有一個月準備,後面文章會漸漸走向準備的過程。


上一篇
Day 16:羊駝跟傑生不太熟啊
下一篇
Day 18:SonicWall 黑名單匯入實戰
系列文
從1到2的召喚羊駝補破網之旅18
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言