skip to content

Search

資安資源與入門指南

11 min read

Cybersecurity Resources

# ctf
# tutorial
# experience
Not in series

我的學習經歷

我從國小學 scratch 開始接觸電腦,也因為對「駭客」的興趣搜尋入侵電腦相關的資源跟教學。當時第一個找到的練習資源是 HackTheBox 的靶機,不過這對於連 Linux 都不知道的我來說顯然是太困難了,硬著頭皮抄別人 Writeup 做幾題之後就放棄了,當時也有嘗試做 picoCTF 的題目,不過因為缺乏動力也很快就停擺了。

接著時間一路拉到高中,有次偶然在 Facebook 看到 ISIP 的課程貼文 (如果我沒記錯的話應該是這篇),雖然心中有些懷疑,不過看到是教育部辦的課程我就抱著試試的心態報名了,也因此踏入 CTF 跟資安社群的大門。

後來就一路持續參加 ISIP 的各種課程,其中也包含 AIS3 好厲駭系列 (我只能說非常有趣,我完全不知道自己是怎麼錄取的,但因為我大概是暑假前入坑資安,所以所有 AIS3 活動我直接反過來走,飛龍 pwn 課程 -> AIS3 好厲駭 -> 金盾第二 -> AIS3 -> AIS3 junior -> AIS3 Club)。期間除了做很多 picoCTF、CTFTime 上各種 Rating 比較低的 CTF 之外,也參加像是 THJCC 這種社群辦的比賽,藉機認識很多大佬跟社群佬。

接著我就去打金盾了,但那屆國高中組最強的好像都炸開,所以我很幸運進到決賽並拿到名次。那有了這個頭銜經歷在手,報名什麼活動基本上都不太會被打槍,所以之後都走得蠻順利的。

接著 2024 年底,我購買了 Offsec LearnOne 方案開始準備 OSCP,我全程照那份英文教材來硬讀,維持早上專心上課、吃完晚餐讀到 9.30、晚上接著寫學校作業的時間規劃,一路到 2025 暑假初成功考取 (考試過程可以參考這篇),就這樣拿下學習之旅的另一個里程碑。

暑假參加完 AIS3、AIS3 Junior、AIS3 Club 之後就把重心放在特選&學測地獄了,每天過著修備審、注意報名日程、讀課內書的死人快樂輪迴。

我寫這篇文章的現在剛結束特選,也確定錄取了,之後也會持續規劃自己的學習來持續進步。

國內資安資源

這邊完全出自我個人的了解,可能有誤的地方歡迎聯繫我更正。

我粗略的把資安學習資源 (教材&比賽) 分成「政府」、「社群」

政府級別

政府辦的活動最主要就是 ISIP 系列,裡面從入門到進階大概是

  • 高中職資安扎根活動 & AIS3 Club: 串聯高中職社團,提供最容易接觸到的教學
  • AIS3 Junior 新型態高中資安課程: 主要供國高中生參加,入門又完備的課程
  • AIS3 新型態資安暑期課程: 主要供大專院校參加,提供進階資安課程
  • 資安實務導師制度~臺灣好厲駭TAIWANHolyHigh: 更進階的資安課程,連接學界與業界

這幾個課程裡面還有很多可以拿出來分享的,像是 AIS3 Club 主要是指「供各校社團幹部培訓、尋找資安講師與資金」的大型聯誼交際活動,不過我上面指的是這個計畫去衍伸出的學校社團活動以及各種研習營或體驗營,這些最入門的營隊大概率都是從這邊來的,讓新手有一個初識資安、結交志同道合朋友的聚會場所。

接著從 AIS3 Junior 就會開始接觸到 AIS3 的專題文化,學員要在白天上課,晚上爆肝寫專題,研究內容可以是任何跟資安有關的議題,建議多找組內的大佬或是助教詢問方向或技術細節。

AIS3 就又更上一層,差不多在暑假開始的時候會辦 pre-exam 的 CTF 競賽,前 110 人會被錄取進營隊培訓,另外還有甄選面試的機制,可以讓技術實力比較弱或是忘記報名比賽的同學一個補救的機會。進到營隊之後就是專題地獄,想知道怎麼一周睡不到20小時請洽檸檬茶

最後是資安實務導師制度~臺灣好厲駭TAIWANHolyHigh (已更名為 AIS3 好厲駭),他分為高階培訓和導師培訓,高階培訓需要投履歷,經過審核之後就可以加入;導師還需要經過二次審查,並且面試後,針對你想結識的導師來決定能否加入。

至於 AIS3 相關的比賽,一樣從入門到進階分別有

  • MyFirstCTF: 線下賽,以基礎題目為主,但不時有大佬下場炸魚
  • AIS3 pre-exam: 如上段所述,AIS3 的篩選依據
  • AIS3 EOF CTF資安進階攻防演練: 先線上賽,前十五名打線下賽,神仙打架

不過除了這些 AIS3 相關的比賽之外,還有幾個比較妙的我不知道要擺在哪裡

  • 資安技能金盾獎: 照理來說是政府最高層級資安賽事
  • 全國技能競賽 - 網路安全: 主要是高職、大專生參加的比賽
  • 神盾杯: 僅限大專院校參加

社群級別

一樣先從學習資源開始,最主要的就是學校與區域資訊社群

  • 各校資研社: ㄜ我其實沒參加過,但這應該是離學生最近、最親民的接觸方式
  • SCINT 北臺灣學生資訊社群: 舉辦很多活動、比賽可以體驗
  • SCAICT 中部高中電資社團聯合會議: 有課程、活動、聯合寒訓
  • SCIST 南臺灣學生資訊社群: 很多課程影片,可以到他們的 Youtube 頻道找有興趣的主題

這裡面我跟 SCINT 最熟,他們辦的 THJCC 我也持續有在出題者的名單裡。至於 SCIST 最讓我印象深刻的是他們超多的線上影片資源,很推薦去看看、支持一下。

不要再北電、北灣了,北資、中電、南灣不是很順嗎!!! — Yuan

網路資安資源

國外的學習資源主要還是集中在幾個教學導向的網站,像是

  • picoCTF: 有很多入門的題目,每年也都會舉辦比賽,都是偏簡單的類型
  • pwn.college: 各種主題課程都有,不過還是集中在講 Pwn 的知識,較為進階

其他還有很多很棒的學習資源,族繁不及備載,可以去看 這個 repo 或是其他大佬的分享。

學習要訣

這邊列幾個我認為學習資安最重要的技能,希望可以對這件事更有概念

  1. 瞭解目標: 這其實是最開始很常疏漏的一點,就是「為什麼要學資安?」。可能是想玩 Bug Bounty 賺大錢;可能是想入侵同學電腦惡作劇;也可能只是單純覺得盯著終端打指令的「駭客」很帥。不管最初的理由是什麼,了解自己的目標才能擁有持續朝那個方向追尋的動力。

  2. 目標導向: 對我來說,學習不感興趣的知識是痛苦的。比如說我想駭入五角大廈竊取資料 (本台不鼓勵非法攻擊行為),那我可能會需要了解滲透測試技術,從裡面又可以依照偵查、攻擊、提權這些不同階段劃分,每個階段又有自己需要的工具、技術、觀念需要學習,那就應該針對這些技術來深入研究,並且搭配實作來熟練技能。而不是「喔我想學資安,先找本計算機概論來讀好了」,這些知識固然重要,但我更建議先培養實際操作的能力,實力提升之後再依照興趣跟心情去學習就好了。

  3. 自主學習: 把握每個活動、比賽機會,爭取認識更多資安社群、學界、產業的大佬,並且規劃好讀書計畫是持續進步的關鍵。我也很推薦拉班上同學一起學習 (對就是你 Jackoha),有人互相協助、督促可以事半功倍,也能維持更多動力。

以上是我個人針對資安資源與學習方式的見解,如果有誤或是想要更深入了解的都歡迎寫信或傳訊息聯絡我 — Grissia。