Ken CHENG
1071724 · 鄭淂元 ·
叡揚資訊實習生
我是第26屆元智資管校外實習生,我從今年一月開始於叡揚資訊實習一年,
目前的實習單位為ICBU,主要業務為知識管理系統。
工作內容
工作詳述
專案維護
我負責的是其中一個知識管理系統專案的維護,這個知識管理系統簡稱LKM,提供該客戶處理知識文件創造與分享相關作業。LKM包含了知識搜尋、知識交流園地、知識分享、我的知識、權限控管、外部資料匯入、統計分析、資料移轉、知識文件上傳、系統整合、連結線上表單簽核等主要功能項目。當中,專案維護的工作內容大致包含了功能測試、修正弱點問題與調整程式碼等方向。
在維修之前,我會先拿到一份專案系統的弱點掃描報告,而我需要針對這些嚴重性高的問題去維修會用到這些相對應程式的頁面,並利用各種軟體工具與對使用者操作的邏輯來進行功能測試。舉例來說,若我要測試跨網站的Scripting問題(即攻擊者可以利用網站將程式碼「插入」使用者的工作階段,讓動態產生HTML的網頁受到影響)時,我會先針對弱掃報告上的實體來測試相關的頁面,並利用各種軟體工具來測試與觀察網頁是否會被攻擊,進而將程式碼調整。
February 2021 - June 2021
實習期間完成的進度
1 ) 新人訓練
在寒假時,我們進行了為期17天的新人訓練,第一個禮拜學習了MS SQL的進階資料庫語法;第二個禮拜學習了基礎前端運用、MVC的程式撰寫;第三個禮拜則是學習進階的前端功能,將前面寫過的MVC程式碼改用Ajax傳輸資料,並利用KendoUI完成前端的美化、以及拆解MVC專案的Layer分層實作。
January 2021 - February 2021
2 ) 資訊安全與智慧財產權課程
身為一個資訊人員,必須非常清楚知道資訊相關的法律規範,才不會不小心觸法,公司在我們實習分發到各專案支援不久後,便開了這堂資安與智財課,在課堂中向我們詳述智慧財產權的法條規範,講師也非常有耐心的舉例給我們聽,讓我們更深刻的吸收這方面的知識。此外,資安的部分則是告訴我們一些相關的規範以及認證,例如:ISO 27001等,在這堂課的最後進行了認知測驗,只有達到分數門檻的人才算完成該課程。
March 2021
3 ) 第一次弱掃修正
在剛分發到開發知識管理系統的ICBU時,因為對於整個系統架構都非常不熟悉,所以在前幾天都在閱讀此專案的系統分析說明書等文件,架設好測試機與開發環境後,就開始進行第一次的弱點掃描修正了,此次的弱點掃描是針對「知識館」與「知識搜尋」兩大區進行修正。
March 2021 - May 2021
4 ) 第二次弱掃修正
有了第一次弱掃修正的經驗後,依據弱掃報告找出每個功能頁面可能面臨的問題的能力有明顯提升了,雖然因此專案的資料傳遞方式相較於之前所學過的都要來得複雜,所以有些bug還是找了蠻久的。第二次的弱點掃描主要是針對「知識達人」與「社群」進行修正,還有一些第一次弱掃修正時遺漏的部分頁面,此次的弱掃也多了第一次掃描報告中沒看到的危險類型,可見一個專案在程式撰寫時需要注意的面向是遠大於我們的想像的。
May 2021 - June 2021
工作當中扮演的角色
我在此工作中扮演了測試人員以及修改程式的角色,部門的前輩們給了我很大的空間訓練自己找出解決方式的能力,也不會給我太大的壓力在工作上,所以我在工作時就是依照使用者的習慣去操作,測試每個功能的結果是不是符合操作前所預期的,再對於測試結果決定需不需要調整。
除了修正弱掃報告找出的問題,在測試的過程中我有時候也會找到其他方面(非弱掃報告面)的bug,但因為我目前的工作內容不在該部分,所以我會先提出與前輩討論該程式可能出錯的原因,並先將之記錄下來以便日後修改。
February 2021 - June 2021
學習
程式能力
1 ) GIT / SVN 版本控制
剛開始進到叡揚受訓,就被教導了版控的運作概念及一些便於操作的視覺化工具的使用方法,因為一個企業需要開發的程式是需要歷經很長的一段時間的,若沒有透過版控,在一定的進度完成時將程式碼推送到版本庫中的話,萬一在開發過程中程式壞掉也就很難快速解決。
我認為學會版控是非常重要的一環,而我也將之應用在現在的期末專題跟組員同步開發要demo的專案,還有參加其他程設比賽等等。我也從以前只會到Git的網頁上點擊上傳跟下載檔案的按鈕,進階到可以思考如何創建一個版本庫讓我的組員們可以和我的程式保持在同步的狀態。
我認為學會版控是非常重要的一環,而我也將之應用在現在的期末專題跟組員同步開發要demo的專案,還有參加其他程設比賽等等。我也從以前只會到Git的網頁上點擊上傳跟下載檔案的按鈕,進階到可以思考如何創建一個版本庫讓我的組員們可以和我的程式保持在同步的狀態。
2 ) SQL進階語法
以前在學校上課所學的SQL語法都是非常基礎的SELECT FROM WHERE,但當時還沒到校外實習,就一直聽到學長姐叮嚀我們資料庫非常重要,心裡覺得資料庫不就只有那些語法在變化而已嗎?直到進到叡揚的第一堂新人訓課程,就大大地顛覆了我的想像。在新人訓當中,我學到了SQL語法的一些語法的執行順序概念,看似簡單卻通貫了整個資料庫篩選資料的過程。當中我新學到的語法包含了更正確、直觀的JOIN規則,CTE語法及Function的寫法等。
在SQL的課程中,我還學習到了程式以外的能力—細心,此課程給的功能要求書上有非常細微的錯誤,還有資料庫的Entity沒被寫在說明文件上,但在當時沒有人發現並提出,在code review時被提醒我才恍然大悟。
在SQL的課程中,我還學習到了程式以外的能力—細心,此課程給的功能要求書上有非常細微的錯誤,還有資料庫的Entity沒被寫在說明文件上,但在當時沒有人發現並提出,在code review時被提醒我才恍然大悟。
圖:SQL課程練習題
3 ) FrontEnd前端應用
在新人訓的FrontEnd課程中,我們學到了全新的UI套件KendoUI,以及jQuery與javascript的應用,而這些都是在第一堂FrontEnd的課程中著重學習的,在這部分的課程中我學到了在js中選擇物件的規則及如何查看KendoUI物件的API和應用。
第二堂的進階FrontEnd課程則學習到用Ajax進行資料傳遞以及更多KendoUI的應用,例如AutoComplete的功能。在code review結束後,也深刻的瞭解到程式可以如何整合,讓重複的功能不用一直寫冗長的程式碼,一方面節省開發時間,一方面也更方便維護。
第二堂的進階FrontEnd課程則學習到用Ajax進行資料傳遞以及更多KendoUI的應用,例如AutoComplete的功能。在code review結束後,也深刻的瞭解到程式可以如何整合,讓重複的功能不用一直寫冗長的程式碼,一方面節省開發時間,一方面也更方便維護。
4 ) MVC
MVC的架構分為Model、View、Controller,在練習MVC的過程中,一開始完全摸不著頭緒,不清楚三者間的互動模式到底為何,所以不斷地用中斷點下去跑課程給的sample code才慢慢著手練習。
這是我第一次同時開發前端與後端,完成一個網頁的功能,但其實在邊開發邊熟悉MVC的過程中,並不是非常順利,最初我甚至連在半天內寫出把資料庫的資料讀進下拉選單都快做不出來,所以在同時我也理解到了設立一個停損點對於程式開發的重要性。
這是我第一次同時開發前端與後端,完成一個網頁的功能,但其實在邊開發邊熟悉MVC的過程中,並不是非常順利,最初我甚至連在半天內寫出把資料庫的資料讀進下拉選單都快做不出來,所以在同時我也理解到了設立一個停損點對於程式開發的重要性。
圖:MVC開發成果
5 ) BackEnd後端概念
在最後一堂課我們學習了拆分MVC架構與後端程式撰寫的技巧,因為下專案後的MVC開發檔案肯定是比新人訓時要在大上數倍,所以在分層的方面就必須非常明確,才能達到前後端由不同程式設計師同步開發的目的。除了學習Layer分層外,我們還學習到了Spring.Net 以及IOC&DI等控制反轉的概念並簡單應用,專案通常也會用此技巧設計程式達到方便維護的目的,最後我們也體驗了單元測試的設計,增加對於測試的相關基本概念。
心理素質與團隊精神
新人訓當中有多次的code review,在過程中每個人都需要把自己寫的程式放到投影幕上demo給所有人看,同時講師也會詢問為何哪個部分要用這種寫法等等,起初code review時壓力都特別大,因為感覺其他實習生們都很厲害,自己寫的程式很笨,甚至害怕答不出講師的問題,不過經過幾次review後,我也學會勇於受教,不因為擔心自己的程式被指教而拖延demo,甚至自發當第一位demo的人。
在分發後,面對被指派的工作時,常常會因為之前沒有接觸過這方面的程式,造成沒辦法很快速找到問題的解法的狀況發生,這種時候都必須調整自己的心態,不能因為過度焦慮,否則會導致工作效率變差,自然就無法找出最佳的做法。
實習期間,公司也籌備了一場Team Building的活動,這堂課把所有實習生分散成好幾個組別,進行「棉花糖挑戰」,在短短的五十分鐘內,需要與陌生的組員們討論並運用僅有的素材,搭建出堅固且最高的平台。在過程當中我也體會到所有人一起分工合作、集思廣益的成效是遠比一個人獨自作戰好上很多的,我們的組別也因此拿下了第一名。
在分發後,面對被指派的工作時,常常會因為之前沒有接觸過這方面的程式,造成沒辦法很快速找到問題的解法的狀況發生,這種時候都必須調整自己的心態,不能因為過度焦慮,否則會導致工作效率變差,自然就無法找出最佳的做法。
實習期間,公司也籌備了一場Team Building的活動,這堂課把所有實習生分散成好幾個組別,進行「棉花糖挑戰」,在短短的五十分鐘內,需要與陌生的組員們討論並運用僅有的素材,搭建出堅固且最高的平台。在過程當中我也體會到所有人一起分工合作、集思廣益的成效是遠比一個人獨自作戰好上很多的,我們的組別也因此拿下了第一名。
自我記錄
分派到專案支援後,我發覺到帶我的專案leader非常忙碌,所以我也沒辦法馬上問問題就立刻得到解答,所以我開始利用寫筆記的方式,將我每天測試遇到的問題記錄下來,並註解用了什麼方式解決等等,這習慣不但讓我實習的工作內容可視化,還幫助了我遇到之前解決過的問題時,可以快速回頭參考做法,不用再從頭開始慢慢偵錯。
當然最大的幫助還是在於提問時,不用害怕有很多問題要問卻只記得一兩個的情況發生,我會在專案leader有空時向他提問一連串的問題,一次理解相關的概念之後再把得到的解答寫到筆記裡,利用時間把程式修改完成,且若遇到隔週接著上週進度時也不會忘記該做些什麼。
當然最大的幫助還是在於提問時,不用害怕有很多問題要問卻只記得一兩個的情況發生,我會在專案leader有空時向他提問一連串的問題,一次理解相關的概念之後再把得到的解答寫到筆記裡,利用時間把程式修改完成,且若遇到隔週接著上週進度時也不會忘記該做些什麼。
提問技巧
我的提問技巧大幅提升的時候是在新人訓的時候,當初因為在非常短的時間限制內要利用新學的架構開發程式,遇到非常多的問題,自己到網路上查找資料後也還不是很了解,於是我開始鼓起勇氣提問,說明了我在寫哪個部分的功能時遇到了什麼問題、而我覺得這個問題的可能性為何、我嘗試過了什麼方式但得到的結果是什麼等等…
這樣子的提問模式也延伸到了我分發後,我利用筆記記錄問題再加上這樣子的提問模式,就可以很輕鬆的取得想要的資訊,又不會讓被詢問的對象覺得自己是伸手牌。
這樣子的提問模式也延伸到了我分發後,我利用筆記記錄問題再加上這樣子的提問模式,就可以很輕鬆的取得想要的資訊,又不會讓被詢問的對象覺得自己是伸手牌。
自我評估與心得感想
到目前為止,也已經實習了將近五個月,我覺得自己在新人訓練的期間,對於寫程式變得比以前更專注,甚至會在下班回家後繼續盯著電腦想趕快把功能寫出來,我想那也是因為有一群一起受訓的同學們,能夠互相討論指教的關係。在經過新人訓練後,除了學習到程式能力以外,也認識了幾位優秀的新朋友。
但唯一有點小遺憾的是,在結束新人訓後,我還是沒有辦法很明確的說出我到底對哪方面的實習內容特別有興趣,當時也是抱著反正到哪個專案支援都能夠學到東西,所以就一切隨緣,但事後仔細想想,我從以前到現在面對這個問題時,都沒辦法給自己一個明確的答案,實是自己需要成長的部分,說明了我還是沒有非常了解我自己。
在分發部門後,說實在的跟新人訓有同學在旁邊的感覺是差非常多的,一開始分發不久都很不習慣,甚至有點慌張,但過了一段時間慢慢上手後,就把自己的狀態調適回來了,我才發現,很多時候自己的一個小小心態只要沒有調整好,就很難在工作中得到深切的領悟,因為心態若崩壞了就會將缺點放大檢視,而不去思考自己到底學到了哪些對自己有幫助的經驗。
現在我自己的工作內容雖說看似單調了一點,但說實話,這也是在為我的能力打基礎,在拿到不同的弱掃報告後,看到不同的弱點要進行修正都要用不同的方式解決,在遇到新的問題,我也還是需要花費一段時間去消化吸收,這方面也讓我知道自己還有很多不足的地方需要精進,希望在未來僅剩的實習期間,自己可以有更多專業領域的技術及觀念,才可以向學弟妹們分享我的經歷,以及減少對出社會後找工作的焦慮不安。
最後則是在疫情緊張時期,公司讓我們實習生在家上班的一些工作心得,在家上班之後因為較不會感覺只能整天坐在辦公室內而煩悶,多了點自由的空間可以轉換工作環境,但一個不小心就會分神造成工作效率低落,所以自制變成了一個很重要的課題,每天多出了原先通勤要耗費的時間,如何把握這些多餘的珍貴時光也是很需要詳細規劃並善加利用的,像我剛好就趁著這些多出的時間,投入在課業上,讓自己的專業能力更加進步,也不愧對以往自己努力學習的付出。
但唯一有點小遺憾的是,在結束新人訓後,我還是沒有辦法很明確的說出我到底對哪方面的實習內容特別有興趣,當時也是抱著反正到哪個專案支援都能夠學到東西,所以就一切隨緣,但事後仔細想想,我從以前到現在面對這個問題時,都沒辦法給自己一個明確的答案,實是自己需要成長的部分,說明了我還是沒有非常了解我自己。
在分發部門後,說實在的跟新人訓有同學在旁邊的感覺是差非常多的,一開始分發不久都很不習慣,甚至有點慌張,但過了一段時間慢慢上手後,就把自己的狀態調適回來了,我才發現,很多時候自己的一個小小心態只要沒有調整好,就很難在工作中得到深切的領悟,因為心態若崩壞了就會將缺點放大檢視,而不去思考自己到底學到了哪些對自己有幫助的經驗。
現在我自己的工作內容雖說看似單調了一點,但說實話,這也是在為我的能力打基礎,在拿到不同的弱掃報告後,看到不同的弱點要進行修正都要用不同的方式解決,在遇到新的問題,我也還是需要花費一段時間去消化吸收,這方面也讓我知道自己還有很多不足的地方需要精進,希望在未來僅剩的實習期間,自己可以有更多專業領域的技術及觀念,才可以向學弟妹們分享我的經歷,以及減少對出社會後找工作的焦慮不安。
最後則是在疫情緊張時期,公司讓我們實習生在家上班的一些工作心得,在家上班之後因為較不會感覺只能整天坐在辦公室內而煩悶,多了點自由的空間可以轉換工作環境,但一個不小心就會分神造成工作效率低落,所以自制變成了一個很重要的課題,每天多出了原先通勤要耗費的時間,如何把握這些多餘的珍貴時光也是很需要詳細規劃並善加利用的,像我剛好就趁著這些多出的時間,投入在課業上,讓自己的專業能力更加進步,也不愧對以往自己努力學習的付出。
工作內容
工作詳述
1 )弱點修正
在暑假期間,我負責的是工作一樣是地方稅務局的知識管理系統專案的維護,此知識管理系統簡稱LKM,提供各地方稅稅捐稽徵機關處理知識文件創造與分享相關作業。LKM包含了知識搜尋、知識交流園地、知識分享、我的知識、權限控管、外部資料匯入、統計分析、資料移轉、知識文件上傳、系統整合、連結線上表單簽核等主要功能項目。也因為系統內包含的功能多達上百種,故每個功能的操作過程中皆有可能有著隱藏的資安問題,此時就必須透過黑箱及白箱掃描來找出系統的安全漏洞並加以修改,也成為了我在暑假期間最重要的工作內容。
2 )功能測試
除了修正弱點掃描發現之問題以外,在修正程式後除了讓系統不會被有心人士成功攻擊以外,還必須確保使用者的可用性,因程式間的關係環環相扣,常常都是牽一髮而動全身,這時候就很考驗修正漏洞的人員,要如何進行程式碼的修正,才能避免補好了漏洞卻無法正常執行功能的情況發生,在這個部分也常常需要耗費大量的時間來DEBUG找出問題點,才可以慢慢釐清哪個環節出了差錯造成程式無法運行。
3 )測試報告撰寫
因要讓客戶了解本專案的維護進度,我們需要針對弱掃報告後的系統功能撰寫一份測試報告,詳細地將每個功能一一測試,並將測試之細節整理為Word檔案,以及將各功能的測試結果整理為Excel表單,此報告不僅讓客戶可以得知專案的維護狀況外,也可以讓我們確保程式的修改進度,並加以規劃維修的工作。
July 2021 - September 2021
實習期間完成的進度
1 ) ASP.NET安全程式開發 Workshop
因我負責的工作與資安方面相關,故公司也有安排了安全程式開發的課程,在這堂課中講師透過 ASP.NET MVC 實作的購物網站來實際演示OWASP Top 10 的各項漏洞, 讓我們更了解漏洞的發生原因及解法。
August 2021
2 ) iPas資訊安全工程師初級培訓課程
因公司在今年參加了經濟部的產業人才能力鑑定計畫,所以在8/25~26這兩天,公司有安排了iPas資訊安全工程師的初級培訓課程給我們所有在叡揚實習的同學們,並且規劃於十一月讓我們去考取能力鑑定。課程中不但提及資安的技術概論,也包含了管理層面,雖然上這堂課時會發現很多相似的概念在先前已經學習過,但透過這次的課程也又重新替自己複習了一次正確的資安觀念,也學到了一些從前不知道的相關細節。
August 2021
3 ) 第三次弱掃修正
在第二次弱掃修正後,我又先將系統內的所有功能測試過一遍,因為在維護專案的過程當中,必須隨時確保程式是可以正常運行的,沒有問題的話就會進行第三次的弱掃並繼續加以修正。而第三次的弱掃就比較特別了,因為先前兩次的掃描皆只有黑箱,此次則包含了黑箱及白箱掃描,白箱掃描即為針對專案原始碼的掃描,由內部直接對原始碼進行掃描尋找漏洞而產出的報告。雖一開始對於白箱掃描的處理是毫無頭緒,但仔細查看報告內部的內容過後,我也可以從漏洞的說明當中取得它發生的原因,並且在報告中提出的可解決方案裡開始思考如何著手,因為此類型的報告更深層,讓我覺得學習到的概念又更多了一些。
July 2021 - August 2021
4 ) 第四次弱掃修正
第四次的弱掃報告是針對個人、管理、報表、外蒐四大功能,在此次的報告當中可以明顯發現弱點已經大幅減少,也表示此四部分的弱點已經差不多快修正完畢,但這次的弱掃報告後,我的修正範圍也不僅只是將高風險的問題處理完畢,該處理的問題也要涵蓋到中風險的部分,在此過程中又經歷了一次面對新問題的未知,所以透過網路查找資料也成了這個階段重要的技能之一。
August 2021
5 ) 第五次弱掃修正
在第五次的弱掃報告執行前,負責我實習工作的工程師就詢問了我先前修正黑箱掃描等等的寫法可能產生的問題,以及一些可能不是很清楚為什麼我會使用那些修正方法,過程中我們互相討論並且將需要修正的部分加以改進。此次讓我比較印象深刻的是,先前提及的SQL Injection問題,因先前的開發人員採用了較偷懶的寫法造成漏洞,我當時也想說不可能將整個程式寫法都修改過,因為時間太有限就先採取了一個較暴力的寫法,但在最後我還是要把這些程式碼重頭寫過,因為原本的暴力方法其實還是會產生操作上的錯誤,最後與工程師討論後還是決定改採正規的寫法,在接觸的次數多的情況下,我也順利將程式改正並能夠正常操作,算是一個感受到自己有進步的里程碑。
August 2021 - September 2021
6 ) 第六次弱掃修正
此次的修正是針對白箱掃描,因第一次取得白箱掃描花費了較多的時間修改,且當中也與黑箱掃描同步修改,耗費了較多時間。但本次的白箱掃描已可以看見漏洞數量有大幅下降,也因此修正速度需要加快到被要求於試著在一天內修正完畢,在這次的修正工作中,時間上的壓力明顯增加不少。
September 2021
7 ) 第七次弱掃修正
此次是針對第六次弱掃修正工作的白箱報告延伸,在這次的掃描報告中弱點也只剩下兩個,所以花了不多時間就將之解決。在修正完短期內的各種報告之後,緊接著就是一連串的測試系統功能,工作的重心就又回到功能測試的部分,因在修補漏洞的過程中可能有些許沒有注意到的部分會影響資料的傳遞型態,抑或原先就已存在的隱藏問題,都需要在修改完漏洞之後開始進行修正。
September 2021
8 ) 專案新需求功能開發
因應客戶的需求,我們在10月開始著手處理撰寫新功能的部分,從前端畫面一直到後端的串聯,都需要進行調整。在這次的功能撰寫中,因為是實習至今第一次碰到不同的工作內容,雖說有壓力在身,但還是盡自己所能理解程式架構並修改,與前輩有更多的討論,就順利完成此部分的任務了。
October 2021
9 ) 低風險漏洞修正
11月我們便開始著手進行低風險漏洞的處理,在中高風險的安全性問題都解決後,我便被要求先從弱掃報告中整理出低風險的程式數量,以及發生於哪些程式片段內,在過程中也可以發現,其實低風險的漏洞數量也不在少數。此次的弱點又讓我學習到查詢中接受了Body參數此種安全漏洞的原理,順道又複習了一次HttpRequest的一些概念。
November 2021
10 ) ESP CHATBOT 優化
因應部門的需求,加上暑假於公司舉辦的聊天機器人黑客松中得到冠軍,我在12月被請求幫忙著手處理優化ESP產品之客服機器人的部分,內容主要是優化機器人的問答集,幫助使用者取得最正確的問題解答;另一方面則是優化機器人的操作流程,因剛接手到機器人時,流程上的設計有一些地方都不方便使用者操作,且沒有明確的指示告知使用者如何操作,故在測試的過程當中,我也有與團隊的同事們溝通想要達成的效果,並不斷調整流程。
December 2021
工作當中扮演的角色
在暑假的工作中,我扮演的角色跟上學期沒有太大的落差,就是負責修正各種黑箱白箱掃描的問題,以及修正使用者在操作系統的過程中遇到的功能錯誤的問題。最大的不同大概就是會的東西比較多了,所以在前輩與我討論的過程當中,不僅僅是我提問給他,而是變成會雙方互相提問來了解對方的想法來互相學習。
開學後,因為先前的弱掃功能已經告一段落,所以便開始幫忙另一個專案,在聊天機器人的優化及部署工作中,可以明顯感受到不再像先前一樣,與前輩們指教,而是轉變為與新的團隊夥伴一起討論溝通的模式。雖然一開始在群組當中提問,還是會有點害怕,但在經過幾次的詢問之後,發現大家都是處在一個互相交流,找出系統應該如何改進的模式,我就更加得心應手了。
July 2021 - November 2021
學習
1 ) 搜尋資料能力
因為暑假接觸到的弱掃報告中,要處理的問題範圍變廣,例如從之前比較常接觸到的Cross-Site Scripting問題到Open Redirect等問題都有,熟悉的問題解決的速度可以非常快,但針對白箱掃描所遇見的問題,我大多都是一無所知的,所以在過程中也找了不少網路上的文章來參考,過程中我覺得蠻有趣的是,會找到很多漏洞相關的發生問題以及相關的原理,我可以先藉由更深入了解這些漏洞再來查看修正問題的方法,我認為這有幫助到我理解要採取哪種修改方法才是最正確的。且若要取得想要的資料,真的要有耐心地把英文慢慢看完,否則也只會心急如焚卻得不到答案。
2 ) 資訊安全素養
因為在修正漏洞的過程當中,接觸到了許多新的漏洞問題,像是Open Redirect攻擊就是連至釣魚網站的手段之一,攻擊者可以透過網址參數將使用者導至惡意的釣魚網站來竊取使用者的重要資料。於是在日常的網路操作中,我就會特別留意一些可疑的網站並加以避免,這大概也是我與之前最不一樣的轉變了吧。
讓我更加了解對於各種網頁連結需要更加留意的事情還有一件,就是公司內部在連假時就有發出釣魚測試信件,而我在察看信件的當下就試著以各種線索來觀察這封信的真偽,最後我沒有選擇點進去連結內,因為信件的內容不僅不合理,寄件人的帳號也異常奇怪。
另外,公司安排了安全開發Workshop以及資訊安全工程師培訓課程,都讓我們更加了解各種資訊安全人員應具備的相關知識,從風險管理、存取控制與身分認證、法規遵循與資訊倫理到網路與通訊安全、作業系統與應用程式安全及資安維運技術等層面皆有提及,是厚實我們資安基礎觀念的重要課程。
讓我更加了解對於各種網頁連結需要更加留意的事情還有一件,就是公司內部在連假時就有發出釣魚測試信件,而我在察看信件的當下就試著以各種線索來觀察這封信的真偽,最後我沒有選擇點進去連結內,因為信件的內容不僅不合理,寄件人的帳號也異常奇怪。
另外,公司安排了安全開發Workshop以及資訊安全工程師培訓課程,都讓我們更加了解各種資訊安全人員應具備的相關知識,從風險管理、存取控制與身分認證、法規遵循與資訊倫理到網路與通訊安全、作業系統與應用程式安全及資安維運技術等層面皆有提及,是厚實我們資安基礎觀念的重要課程。
圖:釣魚信件測試
3 ) 心理素質
修改漏洞到了後期,每次的掃描報告都可以發現問題數不斷下降,在問題數量少的情況下,快速修正就成了一個大課題。從第四次弱掃修正完畢過後,工程師前輩就整理了不少問題給我,並要求我修正仍舊會出現漏洞的程式片段加以修正,這段期間因為有新的弱掃報告需要修正,又加上原先處理過卻又需要調整的問題,我的壓力逐漸上升到有點懷疑自己到底是不是可以達到公司的期望。在一度不知道如何面對堆疊如山的問題時,負責我實習的工程師就告訴我,其實我已經做得很好了,因為在他剛入行時,也都不知道該怎麼處理問題,這需要時間慢慢學習成長。讓我知道,其實自己不需要這麼悲觀,只要有努力付出,問心無愧就不用害怕自己沒有在工作的進度上,頂多就是再多求助前輩來給予指教而已。
經過了那段撞牆期,將待處理的問題記錄下來並逐一處理,就更可以驗證欲速則不達這句話,因為當自己把腳步放慢,整理資訊之後,我才可以更知道現在應該先處理什麼問題,而自身已經處理卻未解決的就可以向前輩提問,在這個步調之下我也慢慢地將工作解決完成。
經過了那段撞牆期,將待處理的問題記錄下來並逐一處理,就更可以驗證欲速則不達這句話,因為當自己把腳步放慢,整理資訊之後,我才可以更知道現在應該先處理什麼問題,而自身已經處理卻未解決的就可以向前輩提問,在這個步調之下我也慢慢地將工作解決完成。
4 ) 工作記錄
我的暑假三個月都是遠距上班,也因為遠距上班,所以我每天都需要向公司進行工作匯報,將每天的TODO與完成的事項記錄下來,方便明天或者下週的工作進度可以繼續下去而不會遺漏。
不過也因為每天都需要工作匯報,我就將原先紀錄於自己的工作進度與之合併了,因為每天需要操作的事情比以前多了不少,為了避免資訊混亂我就決定先以公司匯報為主,也等於是另一種方式來記錄自己的工作。。
不過也因為每天都需要工作匯報,我就將原先紀錄於自己的工作進度與之合併了,因為每天需要操作的事情比以前多了不少,為了避免資訊混亂我就決定先以公司匯報為主,也等於是另一種方式來記錄自己的工作。。
圖:工作匯報
5 ) 提問技巧
在暑假實習時,明顯可以感受到進度上比較會有時間壓力,再加上要處理的問題其實是遠多於想像中的,除了掃描報告內的問題需要調整,使用者的操作方面其實是最重要的一面。而因為需要同步執行測試功能並發現問題、修正漏洞問題以及將有問題的操作功能解決,常常會遇到許多困難的問題是自己無法解決的,這時候就需要透過工程師前輩為我解惑。
但因為帶我的工程師也常常需要開會,所以我的提問其實沒辦法很立即的被回應,當中會遭遇到的困難大約就是同一個問題會需要分為三四次來提問,因為他除了需要檢視我提出的問題以外,還會回過頭檢查前面的其他程式漏洞,所以工作量也不小,在這方面我就發現,需要適時地提醒前輩自己尚未被回應到的問題,才不會導致問題一直擱著而對方會誤以為早已解決的尷尬情況發生。
但因為帶我的工程師也常常需要開會,所以我的提問其實沒辦法很立即的被回應,當中會遭遇到的困難大約就是同一個問題會需要分為三四次來提問,因為他除了需要檢視我提出的問題以外,還會回過頭檢查前面的其他程式漏洞,所以工作量也不小,在這方面我就發現,需要適時地提醒前輩自己尚未被回應到的問題,才不會導致問題一直擱著而對方會誤以為早已解決的尷尬情況發生。
自我評估與心得感想
今年暑假的實習,因為疫情緊張的關係都變成遠距上班,在WFH的日子裡我覺得算是有點小確幸的地方是,多了更多自己的時間,像是因為不用通勤而可以多睡一點讓精神更好,下班後也可以趕快吃晚餐洗澡並著手處理學校課堂的報告問題,甚至是開發校外競賽活動的專題,每天都過得非常充實。且遠距上班讓工作時間變得更彈性,讓我在有進度壓力的情況之下,可以晚一點下班把階段性的工作完成,方便前輩進行下一步的動作。
我認為在實習到現在的這些日子,自己對於弱點修正的能力有提升了不少,現在回過頭看以前的弱掃報告,會發現自己可以很快地知道大概是哪個程式片段需要處理,所以之前常常會懷疑自己一直做重複的工作到底是為了什麼的想法,自然就有了解答。雖然說遠距上班少了一些儀式感,有時會讓人提不起勁,但最重要的還是心態面的調整,如果真的非常抗拒工作的話,真的很容易分心造成工作效率低迷的問題。我想,這個也是疫情為我們帶來的一種學習挑戰吧。
弱點修正工作已經告一個段落了,但是功能操作上還有些許問題要修正,其實這些問題修正才是最困難的課題,因為功能內的寫法都非常複雜,其實需要花費更多時間與心力去理解,目前的工作對我來說最大的挑戰就是要盡快找出問題並將之修正。未來在工作中可能也會遇到更大的時間壓力,我想我自己也必須習慣這種工作步調,因為在八月多那段期間,常常都是自己的問題還沒解決,就又有新的問題被要求修改,是情一多整個人就焦慮了起來,說實在那時候真的有些心態炸裂覺得自己做不來,但是回過頭想想,這個實習機會是當初自己非常嚮往的,而且也付出不少心思,我提醒自己不能忘記當初進來叡揚的初心,才慢慢又調適過來。
仔細想想,實習一年的時間過得非常快。在這段日子中,從一開始的滿腔熱血,到中間的自我懷疑,再到最後的穩重成長,一切的重點皆在於「心態」。其實我不是一個對自己的能力有信心的人,隨著團隊需要我,我的工作責任越大我就越容易畏縮,但是這也都是我自己需要克服的問題。只能夠不斷壯大自己,才能夠讓自己變得更有信心,也可以往後每一個被指派的工作上有更穩定的表現。
我認為在實習到現在的這些日子,自己對於弱點修正的能力有提升了不少,現在回過頭看以前的弱掃報告,會發現自己可以很快地知道大概是哪個程式片段需要處理,所以之前常常會懷疑自己一直做重複的工作到底是為了什麼的想法,自然就有了解答。雖然說遠距上班少了一些儀式感,有時會讓人提不起勁,但最重要的還是心態面的調整,如果真的非常抗拒工作的話,真的很容易分心造成工作效率低迷的問題。我想,這個也是疫情為我們帶來的一種學習挑戰吧。
弱點修正工作已經告一個段落了,但是功能操作上還有些許問題要修正,其實這些問題修正才是最困難的課題,因為功能內的寫法都非常複雜,其實需要花費更多時間與心力去理解,目前的工作對我來說最大的挑戰就是要盡快找出問題並將之修正。未來在工作中可能也會遇到更大的時間壓力,我想我自己也必須習慣這種工作步調,因為在八月多那段期間,常常都是自己的問題還沒解決,就又有新的問題被要求修改,是情一多整個人就焦慮了起來,說實在那時候真的有些心態炸裂覺得自己做不來,但是回過頭想想,這個實習機會是當初自己非常嚮往的,而且也付出不少心思,我提醒自己不能忘記當初進來叡揚的初心,才慢慢又調適過來。
仔細想想,實習一年的時間過得非常快。在這段日子中,從一開始的滿腔熱血,到中間的自我懷疑,再到最後的穩重成長,一切的重點皆在於「心態」。其實我不是一個對自己的能力有信心的人,隨著團隊需要我,我的工作責任越大我就越容易畏縮,但是這也都是我自己需要克服的問題。只能夠不斷壯大自己,才能夠讓自己變得更有信心,也可以往後每一個被指派的工作上有更穩定的表現。