黃榆翔
Associate Technical Manager
滲透測試 / 系統開發
MCP / ECSA
不顯示公司名稱
立德大學
Zhongli District, Taoyuan City, Taiwan
Professional Background
Current status
Employed・Ready to interview
Profession
Security Engineer
Fields
Cyber Security
Work experience
10-15 years (10-15 years relevant)
Management
I've had experience in managing 1-5 people
Skills
滲透測試程式設計系統管理網路管理PHPLaravel FrameworkWindows ServerjQueryVueCodeIgniter FrameworkIISActive DirectoryJavaScript
Languages
Chinese・Native or Bilingual
English・Beginner
Highest level of education
Master
Job search preferences
Desired job type
Full time・Interested in working remotely
Desired positions
滲透測試、資訊安全、系統開發、程式設計
Desired work locations
台灣・日本
Freelance
Non-freelancer
Work Experience
高級工程師
不顯示公司名稱・Full-Time
March 2022 - Present1 yr2 mos
1. 工作內容 ※. 協助其他安全團隊(PSIRT)避免制定不必要或錯誤的測試步驟及協助蒐集確認弱點相關資訊等。 ※. 資安法規研讀,例如 62443-4-2 等,並撰寫測試流程。 ※. 撰寫威脅緩解計畫的測試流程及執行。 ※. 合規檢測自動化,使用 bat、python、php(X)。 ※. 對Python套件TFTPY等武器化作為PT工具。 ※. 使用 Python等,獨立撰寫弱點複現及緩解計畫測試自動化。 [ setuptools click scapy multiprocess 協定封包檢測如:VRRP、ICMP等 ] ※. 使用 PHP、BAT 及相關 API 等,獨立開發符合各部門需求的資安自動化系統。 [ console redis relational database dependency injection restful api schedule queue broadcast unit test integration test mock faker i18n 一鍵安裝 ] ※. CVEs 複現,僅列部分如下。 ( 獨立建立 P12 複現 CVE-2022-0778(已被收錄在GitHub上)。 獨立協助其他安全團隊(PSIRT)釐清CVE-2021-3493影響範圍,並追查相關的Linux程式碼。 ) ※. 結算至2022年11月底,工作量為同級工程師約2倍。 2. 資安成就 ※. 於公司產品獨立執行PT發現記憶體相關高危弱點,計近數十個弱點,預計合併申請數個CVEs。 ※. 於公司產品自發性獨立執行PT發現多個弱點。 ※. 多次繞過RD寫法。 3. 其他 ※. 獨立發現數個TestLink系統弱點 ( CVE-2022-35195(7.2),CVE-2022-35196(8.8) etc. ) ※. 獨立撰寫 Nessus Plugin。
Associate Technical Manager
Bureau Veritas・Full-Time
August 2021 - February 20227 mos
1. 工作內容 ※. 資安法規研讀,例如303645、62443-4-2等,並撰寫測試流程。 ※. 獨立執行弱點掃描 ※. 獨立執行模糊測試、開發特定協定模糊測試 ※. 獨立執行滲透測試 2. 資安成就 ※. 獨立發現多家工控設備大廠產品RCE、DoS、Injection等多個高中低資安弱點 3. 其他 ※. 獨立取得ZyXEL資安弱點回報感謝函
Staff Engineer / IoT Vulnerability Researcher
Panasonic・Full-Time
April 2020 - August 20211 yr5 mos
1. 工作內容 ※. 使用Python進行CLI自動化資安測試系統開發 ※. 使用Docker SDK、GitLab API等 ※. 修正跨平台程式問題 ※. 介接Nessus 8等資安類程式 ※. 自動化建置IIS PHP Web Server(WinAPI) ※. 處理Docker配置安全問題(X) ※. 原系統程式解耦 ※. Unit Test、Code Coverage、Mock ※. 獨立使用Laravel獨自進行自動化資安測試系統開發 ※. 使用Bootstrap + Vue + Jquery ※. Restful API ※. Unit Test、Code Coverage、Mock、Fake ※. 介接Python CLI即時輸出 ※. 修補原系統RCE等資安漏洞 ※. 改善資料庫效能(X) ※. IoT設備、Web等滲透測試 2. 資安成就 ※. 獨立於公司使用Python、PHP開發之商用軟體上挖掘RCE漏洞 ※. 獨立於集團其他公司使用Node.js、C#開發之商用軟體上挖掘RCE漏洞 3. 其他 ※. 獨立發現台灣多家上市櫃半導體業資訊系統高危弱點 ※. 獨立發現騰訊Discuz!最新版(X3.4)高危複合弱點,影響百萬網站(2020-10-28 / 未公開) ※. 獨立於Proper(Win,Hard)第130位取得User(2021-03-23) ※. 獨立開發jQuery Plugin,可拖曳並產生符合Yaml格式的資料,並且保留註解 ※. 獨立利用js等開發六邊形選單及移動光條:https://youtu.be/dZKcPf_W5Og ※. 獨立發現MS IE資訊洩漏弱點(2020-04-25 / 11.0.9600.16428) ( 透過TWCERT聯繫,MS中途不再回應。 ) ※. 獨立發現NETGEAR RAX80、Alcatel I-040GW弱點(2020-06-15 / 1.0.3.88_1.0.41 / I040GWR200110) ( CVE-2020-*****(0.0) x 2 )
弱點分析工程師
將來商業銀行股份有限公司・Full-Time
December 2019 - April 20205 mos
1. 工作內容 ※. 參與銀行Nexpose/Nessus弱掃自動化PoC ※. 參與銀行Fortify源碼掃描自動化PoC ※. 參與銀行系統滲透測試 2. 資安成就 ※. 獨立發現數個iTop系統弱點 ( CVE-2020-12777(7.5),CVE-2020-12778(6.1) CVE-2020-12779(5.4),CVE-2020-12780(7.5) CVE-2020-12781(8.8) ) 3. 其他 ※. 獨立以PHP & VB.Net開發Multi-Thread Websocket Server
工程師
行政院國家資通安全會報技術服務中心 (NCCST)・Full-Time
June 2018 - November 20191 yr6 mos
1. 工作內容 ※. 政府資訊系統滲透測試 ※. 黑白箱測試 ※. .Net逆向 ※. 協助行政院資安處2019跨國攻防場景建置 ※. 獨立以 Laravel 開發報告系統[1]、自動收信取檔程式。相較原系統預計改善資料庫正規化&效能、編碼及使用者體驗問題[1]。 2. 資安成就 ※. 中途加入政府攻防演練,以新人身分於攻防演練結束時,名列所有攻擊手(約90位)中第二名,計超過140個弱點,107年共記功1小功2嘉獎。 ※. 有能力以人工方式繞WAF,達成工具難以達成之攻擊。 ※. 獨立開發掃描及攻擊工具(包含但不限於CVE之PoC、特定弱點掃描、完整功能的 PHP & ASPX WebShell),使用技術包含但不限於cURL、Socket、Multi-Thread等。 ※. 累計(已/未)申請CVE弱點至少34個。僅列部分如下述: ※. 發現ZYXEL Router可經特殊封包取得管理權限(未發CVE,含PoC)。 ※. 發現GSS Tracko, Radar弱點(已要求撤銷(0.0)、etc.)。 ※. 發現InfoDoc ODMS弱點(已要求撤銷(9.8)、etc.)。 ※. 發現DrayTek Vigor2925弱點(CVE-2019-16533(6.1)、etc.)。 ※. 發現ESRI ArcGIS Enterprise弱點(CVE-2019-16193(5.4))。 ※. 發現Avaya Scopia Desktop弱點(CVE-2019-6998(6.4)、etc.)。 ※. 發現phpMyAdmin弱點(CVE-2019-6798(9.8)、etc.)。 ※. 發現MyWebSQL弱點(CVE-2019-7731(9.8)、etc.)。 ※. 發現DbNinja弱點(CVE-2019-7747(9.6)、etc.)。 ※. 發現webERP弱點(CVE-2018-19434(7.2)、etc.)。 ※. 發現KindEditor弱點(CVE-2018-18950(7.5)、etc.)。 ※. 發現PHP-Proxy弱點(CVE-2018-19784(7.5)、etc.)。 3. 其他 ※. 四個月內取得HTB個人344名,團隊153名。經理
合群樹脂實業有限公司・Full-Time
September 2016 - May 20181 yr9 mos
1.客戶開發 既有客戶聯繫 找尋新客戶 2.產品開發製造 既有規格產品製造 客製規格產品開發 3.進銷存管理 庫存盤點 進貨 銷貨 EXCEL VBA 成本計算等 4.帳務處理 應收帳款 應付帳款 開立支票等 5.資訊系統處理 PC故障維修 系統實轉虛等 6.部屬任務安排 7.廠房修繕資訊副工程師
森霸電力股份有限公司・Full-Time
February 2012 - August 20164 yrs7 mos
工作內容: 1. 程式設計 PHPBB架設及修改,作為公司公告系統。 PHP撰寫個人電腦資訊查詢系統,作為採購、報廢等依據。 PHP撰寫公司表單查詢系統 PHP撰寫破解AD帳密程序,驗證資安問題。 PHP撰寫SNMP抓流量並圖形化程序,提供同仁參考網路狀況。 VB.NET撰寫多執行緒掃網段串改封包程序,驗證資安問題。 Excel VBA, 公式, 圖表,協助倉管盤點及計算備品價值。 查看廠商撰寫之電廠系統程式碼(JSP),並成功發現無效存取控管弱點。 其它 2. 系統管理 Windows Server 2003管理 DNS DHCP AD(GPO、權限等設定、Login Script) Server問題排除 機房硬體設備(NAS、CDP、RAID) 其它 3. 網路管理 封包攔截分析 VLAN MAC Filter Switch Router Routing Table 其它 4. 個人電腦故障排除 Windows XP、Windows 7 Office(Excel、Word、Outlook) Printer IE 其它 5. 案件發包 6. 物品請購 7. 倉管 8. 總機系統管理 9. 文書處理 10. 門禁&監視器處理 11. 其他主管交辦事項
PHP程式設計師
知識科技股份有限公司・Full-Time
December 2009 - May 20111 yr6 mos
新人獎 - 2011 工作內容: 1. JQuery 2. PHP 3. MySQL 4. CI MVC Framework 5. Windows Server 2003 6. DNS 7. IIS 8. File Server 9. SVN Server 10. CA Server 11. 客制化 PHP 程式設計 12. Yahoo EWS API 13. PayPal API 14. facebook API 15. Google API 16. 安全漏洞檢測,成功發現多項漏洞,並提報給公司負責人 17. 效能等其他問題檢測
Education
Licenses & Certifications
EC-Council Certified Security Analyst
EC-Council
Expires November 2022
Microsoft Certified Professional
Microsoft
Issued September 2003 · No Expiration Date
