SITCON 2015 會後心得整理

3 / 20, 2015 其他

上上星期六,3/7,是 SITCON 2015 (不要懷疑,我拖搞到現在XD),都已經參加過 SITCON 2013 , 2014, 2015 當然也不能錯過囉,今年陣仗真的比以往大好多啊,也見到許多朋友,而且今年身為講師,也別有感受。今年主題是 The True Hacker ,駭客代表的是對技術的執著和熱愛,追求自由和公開,因而成為今年 SITCON 主題。

先別管講師了,講師又不能吃,我們先來看看 SITCON 2015 現場吧,當天早上不知道哪跟筋不對,就突然想說來練習演講一下好了,結果就遲到了 QAQ , 9:00 開場我 8:50 才到,入場隊伍已經排到人文社會館外了,之後好險講師有 root 權限有特殊通道,所以才快速通關,之後在 pcchou 附近找一個位子就開始等開場惹。

抱歉因為一直在處理簡報,所以都沒拍啥照片,此文字多請小心,還有以下照片部分由 PC Chou 提供,部分我自己拍的

今年的名牌超好看的說,應該說今年的主色系我個人還蠻喜歡的,所以看什麼都好看 XD
sitcon-2015-1

會議單(其實我不知道那個叫做什麼)是一張紙,以前是一本書的說,原本聽說是折得很精美,結果廠商做不出來 Orz
sitcon-2015-5

sitcon-2015-6

開場是由總召 Mouse 來開(這句感覺有點廢話),在開場之前有放了一段超霸氣的影片,可是那段霸氣影片因為音樂授權問題所以在此文撰寫期間尚未釋出,如果未來釋出我會補上。
sitcon-2015-2

小弟在這裡只寫出個人心得,如果要看重點整理請至 Hackpad 共筆

為學校網站系統做測試甘苦談

– 小平 R2

我之所以會去聽這場主要是因為我對 TDD 一直很有興趣,這整場基本上就是講解一些 TDD 的工具,還有 Unit Test, Code Coverage 之類的問題。

基本上為什麼應該要作 TDD ,不外乎下列原因:

  • 預設的流程
  • 排除非預期的操作
  • 早期發現早期治療

然而很多學校並沒有導入 TDD 測試,甚至連人工測試都不完全,導致很多Bug和漏洞都是上線後才發現的,像是 CSRF 隨便傳請求超爽 der ,或是密碼加密不完全可以輕易被還原之類的,像是小弟學校就可以這樣玩 (?)
至於怎麼作測試程式碼呢?除了 TDD 的工具以外,還可以用以下方法:

    • 黃色小鴨測試法

把程式碼解釋給黃色小鴨,不喜歡黃色小鴨也可以找薑母鴨,總之解釋給黃色小鴨同時,也可以發現一些潛在問題

    • 黃色小貓測試法

讓可愛又賣萌的貓貓陪你 Coding,但是缺點是貓貓可能會拍打你的鍵盤(O,跟超萌的海豹一樣

    • Pair Programming

兩個人一起寫 Code ,一個人寫一個人讀,讀的人可以想辦法去理解寫的人的邏輯,然後指出問題

小結:

  • 測試人員必經驗豐富
  • 測試與開發必須並行
  • 完整測試計劃
  • 足夠的時間來開發/測試
  • 健全的問題回報機制
  • 學 Git

#海豹聊天室
海豹:說到這裡我都想哭了QQ,要去聽結果爆滿……
Allen : 說到這裡海豹都哭了
海豹:中途因為有白癡把這裡當HITCON (抖) ,ARP spoof 了會場網路而且,還沒模擬MAC位置= =,然後會場網路就掛了,所以大會又播了另一段霸氣的影片啊啊啊,不過還是沒釋出QQ

座談會

sitcon-2015-10

由於內容有點多,我只寫我認為的重點

  • 學校系統要新功能就給學生寫,甚至當作畢業專題,導致後續無人維護
  • 學生表示:幹這系統他媽的好難用
    • 可以自己寫嗎 QAQ
    • 學校不給 API 啊,又不可能直接連資料庫,只好派 Bot 去爬了…
    • 學校不信任學生,不敢讓學生自己寫
      • 如何找到「使用資料的自由」和「防範資料洩漏、濫用」的平衡點?
  • 學校 Wifi 登入,一直打密碼好煩啊
  • 學生會投票要慢慢開票,人工開到半夜還在開,Shell Script 一秒開完
  • 弄個 OAuth 登入很困難嗎
  • 學生該怎麼去推動 Open Data
    • 學生作一個給學校看
    • 學生提案
  • 學校公開 API 的潛在問題
    • 學生使用其他學生寫的程式選課,結果系統出錯了,該由設計那系統的人(學生)負責,還是 API 提供者(學校)負責?
    • 不可能一次全部開放啊
      • 可以從 Read Only 開始逐步開放,等一切正常再延伸到修改資料的權限
  • 資料使用問題
    • 學校認知問題啊
    • 未滿 20 歲的學生,只能同意對自己有利的部分,不利的部分怎麼處理?是不是要由父母來同意?但是顯然這不可能啊

這次還導入一個系統叫做「 Hacker給問嗎 」可以自行提問,只是好像很多人都是上去耍白就是惹 =="
sitcon-2015-8

直擊VulReport回報漏洞平台

– L10 R2

VulReport 是由 HITCON 發起支持的一個公益性質的漏洞通報平台,當作漏洞挖掘者,通常是白帽駭客,和有漏洞的廠商、機構之間作溝通,並且協助一些無力於修復漏洞的機構協助維修,目標是遏止黑客地下產業在台灣流竄,並建立一個公正公開的資安平台。目前已經和中國的烏雲網合作,烏雲網中關於台灣網站的漏洞會通報給 VulReport。

嗡嗡嗡~跟著小蜜蜂去旅行

– 翔子 R2

早期 BeeTalk 資料是明碼傳輸並且很直接的使用者的經緯度傳去其他使用者的手機,以利於其他使用者的手機可以判斷該使用者與自己的距離(這是 BeeTalk 的功能,找出附近的使用者),但因為傳輸的是經緯度,導致使用者的位置可以清楚的被定位,在此議程講解,透過 Android 模擬器及 Fake GPS 走遍各大人群聚集處,蒐集許多使用者所在的位置並記錄下來,還做了一個非常黑(無誤)的查詢系統。 BTW BeeTalk 這個蠢 Bug 其實小弟也玩過XD

列印點數歡樂談A_A

– Legbone R2

某單位辦公室列印資料需要點數,但是點數查詢系統有問題,導致遲遲無法上線,於是黑黑發揮黑客力場,用逆向工程找出問題所在,並用 PHP 做了一個線上查詢系統,但是真正亮點是 ID & dir 啊XD (重點誤

#海豹聊天室
海豹:洋蔥把「A底線A」念出來啊 wwwww
海豹:對了,這個系統可以XSS喔 ( \ 海豹好黑 / )

亞斯人,程式腦─泛自閉症與程設

– Ray R1

亞斯伯格症是種泛自閉症疾病,社交通常比較困難,而且不太會判斷他人的情緒,思維跟非亞斯比起相差很多,對特定領域有強烈的興趣與非凡的才能。亞斯人必須學習與人相處,如何解讀他人情緒,而不是可以很理所當然的知道社交之道,且通常有自己的一套思維邏輯,因此造成了社交困難。講師表示,如果仿造亞斯人學習判斷人類情緒的方法,有可能就能打造出具有判讀人類情緒及讓自身具有情感的人工智慧了。

BTW 小補充一下,其實不少能力高深的駭客和工程師是亞斯伯格症患者,我之所以會去聽這場議程其實也是因為小弟身邊其實不少朋友都是亞斯患者…

Google Code-In 開源,從小開始

-萌海豹 seadog007 R0

#海豹聊天室
海豹:對,我就是講者(霸氣樣
Allen: 恩對,海豹是講者,重點就只有這個,好,沒了 (?

還有今年也有延續去年的座位表,不過一直被惡搞就是惹 QAQ
sitcon-2015-9

話說今年設施真的是好的不像話, R0 直接來個 4K 錄影,點心也超豐富的,不過因為在忙,完全沒吃到 QAQ,還有一天一萬二的投影機,不過…為什麼都在 R0 , R1 R2 跟 R0 比起來超「簡潔」的,不過想到 R3 連直播都沒有就別太奢求了(誤),資源分配嚴重不均啊(拍打
4K 攝影機:

sitcon-2015-3

R0 的控制台:

sitcon-2015-4

  • pcchou

    #Sitcon 是什麼 tag…

    地方的 SITCON 需要大寫~ (?

    • s3131212

      孩子,Wordpress 的設計就是這樣好嗎?Tag 只有第一個字可以大寫,除非我去改資料庫,你看看你不寫文就連這個都不知道

      好啦改好了

      • fishlover2009

        utf8_general_ci <–這個的問題?

        • s3131212

          I have no idea

          • fishlover2009

            我最近也開始玩Wordpress了XDD

            • s3131212

              是說我最近開始想離開 WordPress 了 XDD

              • fishlover2009

                ?!
                有什麼新出的部落格軟體?
                還是想自己寫了XDD

              • s3131212

                自幹或 Ghost 吧

              • 支持自幹/