中租迪和股份有限公司 資訊安全組 襄理 2022/07 ~

執行企業資安威脅抵禦，強化技術框架與人員訓練，成功降低偵測與回應攻擊的時間

進行資安監控，已具備於第一時間內有效處理與應變的能力

進行事件通報，使用Firewall、IPS及資安設備Log，結合鑑識工具進行事件時間軸拼湊

弱點掃描與滲透測試專案審核，主動發掘企業漏洞並提供修補協助，提交漏洞數已累計超過20個

企業WAF Log與XDR Log分析

企業適用SIEM導入驗證與評估

撰寫全英董事會提報項目：資安風險管理執行成果文件

撰寫全英海外分公司資安建議

行政院國家資通安全會報技術服務中心 資安工程師 2018/12 ~ 2022/07

已執行超過50個上線系統弱點掃描與滲透測試

每年度網路攻防演練攻擊手，對機關超過6000個系統進行滲透測試

每年度政府機關資安稽核技術檢測作業，對機關內網上線系統進行滲透測試，累計超過10個專案經驗，曾發現任意檔案上傳弱點與竄改封包造成之無效存取控管弱點

維運網路攻防演練報告系統、資料庫與系統Bug修正

108年網路攻防演練裁判組

• 每日將攻擊紀錄進行手法驗證，且編寫為逐步操作便可重現之流程
• 遇漏洞機關自行通報遭攻擊或申訴攻擊不成立時，視內容進行審核通過與否或給予改善建議

108年網路攻防演練攻擊手，發現高風險弱點(XSS、Blind Injection及無效存取控管弱點)

撰寫行政院資安處CODE 2019跨國攻防演練全英技術規範、紅隊系統架構等文件，並擔任外語組技術支援人員

109年、110年網路攻防演練攻擊組，於1個月內完成獨立建置攻擊場域、人員邀請與攻擊報告審核，並擔任攻擊手

• 場域為約30台Windows與Kali的環境，使用AD管理群組成員，並使用含漏洞的網頁進行攻擊手遴選
• 負責聯繫外部人員與時程安排與內部團隊夥伴工作分配

109年CTF資安系列競賽-金盾獎決賽題目出題者，試題內容利用LFI與XXE漏洞

• 網頁robots.txt錯誤設定→存取具XXE漏洞頁面→使用LFI漏洞搭配Code Review→利用XXE漏洞

CVE-2020-25213與CVE-2020-10564弱點驗證與實作

• 架設WordPress與漏洞版本套件靶機，利用手動竄改封包方式與Metasploit套組兩種方式完成弱點實作

2021年教育體系資安檢測技術服務計畫之教育訓練進階滲透測試課程講師

• 課程內容：案例介紹結合相關檢測手法，包含Blind Injection、Dom-based XSS、Webshell上傳繞過....等，總時長2小時
• Training Lab內含4題：nmap參數搭配、masscan、crunch及reverse shell

2021年網路攻防演練巡迴研討會講者

• 議程標題：110年網路攻防演練暨資安技術檢測重要發現事項
• 內容為全年份的共同發現事項與樣態舉例，並給予相關修補改善建議

撰寫行政院資安處CODE 2021跨國攻防演練全英技術規範、紅隊系統架構等文件

國立臺灣大學 工程科學及海洋工程學研究所 2016/9 ~ 2018/8

國立臺北教育大學 資訊科學系 2012/9 ~ 2016/6