今年三月中旬，國內以純攻擊導向的資安研討會 DEVCORE CONFERENCE 2023，連續兩日的論壇，第二日駭客場由 DEVCORE 紅隊服務團隊與技術研究團隊帶來共 7 場由攻擊視角出發的演講，與現場近 400 位駭客及資安人員共同探索攻擊技術與漏洞研究過程，協助企業做有效防禦及配置。

DEVCORE 七場演講摘要

(1) Ding – 以紅隊思維看藍隊防禦，紅藍攻防中的經典案例

駭客場首場演講中， DEVCORE 紅隊演練隊長 Ding 萃取出過去近 70 場紅隊演練的精華經驗，由 MITRE ATT&CK 框架切入，解析紅隊演練從情蒐、進入內網建立連線、提權、取得 domain admin 以及在系統間橫向移動等階段，曾搭配使用的工具及成功案例。Ding 提醒，眾多資安危機實際上來自於「人」的問題，企業或組織應有相對應的改善機制；而針對紅隊攻擊方，除了技術是最基本的要求外，也須培養從企業角度思考和解決問題的能力，幫助自己在紅隊演練中找到新思路。

(2) Vtim – 讓流量穿過你的巴巴 – 紅隊實戰 SSRF 經典案例

第二場由紅隊演練專家 Vtim 上場，分享 SSRF（Server Side Request Forgery）這個已知的高風險漏洞在紅隊演練中實戰的思路，展現出 SSRF 可能帶來高危害及大範圍的影響。Vtim 建議，企業在實作存取外部資源的功能時，應建立參數白名單、或限制參數內容不得包含內網 IP 位址；在不適用白名單的情況下，可限制參數 DNS 解析過後的內容不能有內網 IP 位址，且若功能支援跳轉，應針對每一次 HTTP 302 跳轉位址進行檢查；若無法有效建置黑白名單，組織可考慮將功能建置於獨立且隔離的網路環境，將該漏洞的影響降到最低。

(3) Mico – I wanna know 你信不信 – 現代郵件詐術

釣魚信件等社交工程攻擊手法早已是各大企業及組織必須面對的資安問題，第三場由 DEVCORE 紅隊演練專家 Mico 獨家整理出社交工程郵件的懶人包，剖析攻擊者如何運用 Email 繞過系統對垃圾郵件設下的安全機制。演講中設定了常見的四種攻擊情境：將寄件者信箱分別設定為不存在、真實存在、與收件信箱相似、與收件信箱相同的域名，並解析四種寄件者信箱在面對收件伺服器 MRA 的 DMARC、SPF、DKIM 三種安全機制時成功的可能性。Mico 指出，組織若有啟用 DMARC 設定，較能防範網域被駭客利用寄出偽造信件，使社交工程攻擊情境減少。

(4) Cyku & Crystal – 黑魔法、大壞蛋得崩，讓四個臭蟲變成漏洞吧！

DEVCORE 資深紅隊演練專家 Cyku 及技術專案經理 Crystal 透過實際案例，分析攻擊方如何運用四個在 CVSS 評分近 0.0 分的弱漏洞，包含 Path Traversal、Parameter Pollution、CRLF Injection、Command Injection 等，串聯起完整攻擊鏈，進而找出遠端執行安全漏洞（RCE 漏洞）。Cyku 和 Crystal 回應企業修補漏洞的議題，建議組織仍需從內網核心主機思考較關鍵的弱點及路徑，或參考 CISA 漏洞修補列表上的資訊，評估漏洞修補的順序和策略。