前言
今年在等 9 月上大學的時間剛好有空檔,想說中間也沒什麼特別的事情。看到政府的 iPAS 資安工程師考試費用也蠻便宜的,只要 2 千塊,覺得可以報名來考一下。
準備和考試
我大概是到考試前一個星期才開始準備,時間上還算充裕。防護實務的部分基本上沒什麼問題,跟我平常在做的事情很像,大多都是快速看過去,然後把一些平常比較少用到的工具、網站和名詞補一下就差不多了。
規劃實務我比較不熟,去惡補了很多法規、規範和資安管理相關的內容。不過中級似乎是沒有範圍的,你不會有那種讀完的感覺,很多東西後面會一直延伸出新的名詞定義或規範。所以我覺得練考古題蠻重要的,寫到不懂或不確定的題目就回去查它背後在講什麼,順便把相關的名詞和規範一起補充。我的準備方式大概就是看多少補多少,盡量在考前把自己不熟的地方補起來。我每天準備的時間大概 3 到 6 個小時不等。
考試當天是先考規劃,再考防護。現場會給一張紙,好像是可以拿來計算或做記號用的,但我完全沒有用到。兩科我都寫蠻快的,檢查完就提早交卷出來了。
成績和證書
印象中成績大概在考完 2、3 個禮拜後出來,時間差不多是 4 月底左右。這次規劃實務的難度我覺得跟之前寫考古題差不多,最後考了 72.5 分 (系統顯示是 73 分)。防護實務我覺得跟歷年考古題比是比較簡單的,最後考了 90 分。
實體證書等了蠻久的,大概 6 月初才收到。但不得不說整體的質感其實還蠻不錯、也蠻好看的,附上人權圖。
小插曲:意外發現的漏洞
分享一下在查詢成績時意外發生的小插曲。有自己資料的系統,當然要順手確認一下它是不是安全的吧。所以我稍微觀察了一下流程,結果發現它在產生成績證明的時候有個邏輯漏洞。/Apply/cScorePrint 這個端點會接收多個由客戶端傳入的參數,包含個人資料、成績和證明文字等內容,而且後端完全不會驗證這些參數是否為真。等於使用者可以自行竄改各欄位,影響最後由官方系統產生的成績證明文件。因為文件是從官方系統正常產出的,所以表面可信度會很高,這其實蠻嚴重的。
發現後透過 HITCON ZeroDay 通報給相關單位,之後修好協助複測確定沒問題後公開。想看完整細節可以到漏洞公開頁面:https://zeroday.hitcon.org/vulnerability/ZD-2026-00577。
-
透過 HITCON ZeroDay 通報此問題
-
狀態更新為修補中
-
收到複測申請,並協助確認漏洞已正確修復
-
漏洞公開
我自己是覺得這個問題蠻不應該的,也不知道他們為什麼都沒發現。
總結
心得是我覺得 iPAS 資安工程師中級對我來說難度不高,算是偏簡單。防護實務大部分跟我平常漏洞研究在碰的東西比較接近,主要是規劃的法規、制度和考古題需要在考前惡補一下。
這張證照對我的生涯應該不會有特別大的幫助。比較像是多了一張可以放在備審資料、履歷或一些正式文件裡的證明。對實際的技術能力或我未來想走的研究方向來說影響應該不大。
但考慮到只要 2 千塊,比起 OSCP 那種動輒好幾萬的花費,iPAS 算是蠻經濟實惠的選項。如果你剛好有空,或是需要一張台灣比較容易被理解的資安證照,那我覺得或許可以考一下。