前言
本篇文章紀錄我於 2025/07/12 受邀擔任 SITCON Camp「視界咖啡館」講者的經驗與互動紀錄。這是一場以聊天形式進行的資安分享,讓我有機會和一群熱血又充滿好奇心的學生,面對面討論資訊安全的入門與成長旅程。
有趣的事情
咖啡館的活動雖然預定於 15:00 開始,但參與社群博覽會,我中午 12:00 就抵達會場。一到現場,就見到許多熟悉的老朋友,氣氛既輕鬆又溫暖。
有個小插曲也讓我會心一笑——工作人員一度誤認我也是工作人員之一,私訊我請我「幫忙去某個攤位看密碼有沒有連進去」。雖然一開始有點錯愕,但我還是照辦,還好問題當場就被解決了,我也順利完成任務(?)並如實回報,算是提前進入駭客模式─社交工程(笑)。
SITCON Camp 2025 是什麼?
SITCON Camp 是一場由學生自發舉辦、專為學生設計的資訊科技夏令營,自 2014 年起已連續舉辦九屆。2025 年主題為:
「404 Not Found:青春不該 throw error」
鼓勵學生擁抱未知、勇敢 debug,從錯誤中找到屬於自己的資訊之路。
本次營隊涵蓋主線課程(Python + FastAPI + AI 前後端整合)、Hackathon、廣度課程(AI、CSS、版本管理)、視界咖啡館、社群闖關與夜間實作挑戰,提供一個高度自由、跨領域又實作導向的環境,讓每位參與者都能在玩樂與探索中,建立屬於自己的資訊技能樹。
什麼是「視界咖啡館」?
「視界咖啡館」靈感來自世界咖啡館(The World Café)概念,是 SITCON Camp 中特別設計的互動活動。我們把「講座」變成「對話」,邀請各領域講者進駐多張小圓桌,讓學員自由走動、提問、交流。
這樣的形式縮短了「講者」與「學員」之間的距離,讓每一次發問、每一段分享都更貼近學員的真實需求與成長方向。每位講者開場會有一段 8 分鐘小講,之後進入約 40–60 分鐘的自由問答。
講者介紹
曾任逢甲大學黑客社與台科大資安研究社社長,目前創業擔任七維思執行長,透過「資安這條路,飛飛來領路」品牌推廣。長期投入資安教育、攻防實戰,擅長將艱深技術轉化為友善好懂的資源,建立學習地圖與加強實作能力。希望讓更多對資安有興趣的人,不再徬徨迷惘,而是能找到適合自己的切入點與學習節奏,勇敢踏上資安這條路。
分享主題
資安領域的學習常令人感到困惑,總是不知從何開始,本次分享將結合講者自身從零學起的經驗與多年的教學實踐,帶領學員理解資安學習的全貌,並提供實用的入門建議與策略,包含學習地圖、實作方法與常見誤區。無論你是剛起步的新手,或已具備基礎、想要更進一步,本場分享都將幫助你釐清方向、少走彎路。
八分鐘短講
在正式開始咖啡館之前,主辦單位邀請我們四位講師先進行八分鐘的自我介紹。當我看到其他與談講者的名單時,坦白說,我一開始其實非常緊張,甚至有點害怕——心裡忍不住浮現出那個熟悉的聲音:「我,真的夠格站在這裡嗎?」
同行的講者們實在太厲害了:
打造超過五萬人使用的《白沙屯 GPS》App 的 OA,從一人開發到組隊合作,將宗教信仰與科技結合;
豆泥曾是醫學工程師,後來進入數位發展部參與政策制定,現在致力於推動密碼龐克精神與去中心化的公民科技行動;
還有現任台北市資訊局局長 Jack,身兼學者、創業者與官員,從開源到 AI 城市治理,實踐著科技公共化的願景。
站在這些人中間的我,當時內心的聲音其實是:「我能分享什麼,會有人想聽嗎?」
不過如果非常熟悉我這個人的話就會知道,當我拿到麥克風的當下,又會是另外一個我。
一場從「三真一假」開始的自我介紹
我是飛飛,如果你在 Google 上搜尋「飛飛 資安」或「飛飛 iThome 資安 鐵人賽」,應該會找到我過去八年來寫下的四百多篇資安文章。
這次的短講,我用了一個輕鬆的遊戲作為開場——「三真一假」。我讓大家猜猜看:我是不是駭客?是不是早就離開學生身份?是不是開了資安公司?還是,是不是一位資安講師?
有趣的是,最多人選錯的選項是「我離開學生很久了」,因為事實是,我還沒畢業(笑),還在就讀碩士班,即將口試。
這也成為一個機會,讓我好好介紹我一路走來的資安旅程。
從部落格到創業,打造資安學習環境
我現在是七維思股份有限公司的執行長,這間公司是我三年前創立的,專門幫助企業做資安教育與滲透測試。
你可以把滲透測試想像成公司的健康檢查:我們模擬駭客行為,測試企業的系統有沒有漏洞,然後給出改善建議。像是身體健檢時發現缺乏維他命,我們也會告訴企業「哪邊要補強」。
除了協助工程師,我也常常對非技術背景的使用者講解資安,像是行政人員、業務、助理或法務,因為資安不是只屬於技術人的事,而是與所有人的日常息息相關。
從 IG 找出一個網紅的住址,這不是神技,是 OSINT
為了讓大家更理解什麼叫「資安」,我分享了一個我實際操作的故事。
有一次我在 IG 上看到一位網紅爸爸分享他和女兒出門騎重機的影片,看著看著,我注意到幾個細節:他們家地下室的樣子、建案名稱、甚至影片中有一台公車經過。
我用這些線索去查建案名稱、比對公車路線、用 Google 街景對照,結果真的找到了他們家的確切位置。
不是為了幹嘛,而是想提醒大家:這就是 OSINT,也就是「開放來源情資蒐集」,駭客在生活中也會這樣拼湊資訊,而你不知不覺中可能就把家住哪裡、家人長相、甚至上下班時間全都暴露了。
OSINT Tips
- 看地下室樣貌
- 查建案
- 對比公車路線
- Google 街景驗證
你以為駭客想攻擊你,其實他們想要的是「你手上的權限」
很多人會說「我只是個普通人,應該不會被駭吧?」但其實駭客要的不是你個人,而是你「擁有的資源」。舉例來說,你有學校帳號密碼、實習公司的系統登入憑證,甚至你爸媽的資料,那駭客只要攻下你,就能攻進整個系統或家庭。
你以為沒人想偷你,其實你就是別人通往更大目標的跳板。我們在資安領域,稱這種方式為「橫向移動」或「社交工程中的跳板策略」,這是非常真實的威脅情境。
資安漏洞真的在你我生活中,從抽獎網站看出 IDOR
再分享一個實例。有一次我參加一個活動抽獎,網站是外包做的,抽獎連結上面有個參數像是 id=12345,我下意識改成 id=12346,結果我就看到了別人的個資!這就是典型的 IDOR 漏洞(Insecure Direct Object Reference)——只要修改網址參數,就能取得其他使用者的資料。
很多網站、表單、活動系統都有這樣的漏洞,只是我們平常不注意,或者根本不知道怎麼發現。但只要你開始學資安,就會發現生活中有太多值得你觀察、測試、保護的地方。
駭客不是為了帥,是為了保護
很多人學資安是因為覺得「駭客很帥」,能打開一個黑黑的終端視窗然後就入侵了。但我想說,真正讓人著迷的,不是那個黑畫面,而是你能夠用自己的技術去守護一個系統、一個家庭、甚至一家公司。駭客精神不是攻擊,而是理解和守護。
你可以從觀察生活中的網站開始,學著使用瀏覽器開發者工具,思考 APP 功能背後的邏輯,思考「如果我是攻擊者,我會怎麼入手?」這樣的訓練就是資訊安全思維的開端。
結語:從你身邊的系統開始學資安
如果你不知道從哪裡開始學資安,不用擔心。你可以從你熟悉的東西開始:你每天登入的校務系統、使用的投票平台、報名表單、甚至你正在使用的手機 App。學資安不是為了當駭客,而是為了保護自己,也讓這個世界更安全一點。
如果你想更深入了解,也歡迎 Google「飛飛 資安」,找到我的網站、部落格,或者下次有機會的時候,來跟我聊聊。你永遠不孤單,這條路上我會陪你。
咖啡館互動紀錄
這次 SITCON Camp 的「視界咖啡館」活動,設計了兩場交流時段。每場學員可以自由選擇與不同講者聊天。整體氣氛比我想像中還熱烈,也比我預期更安靜(笑),一方面大家對資安充滿好奇,一方面也能感受到許多學員其實還不知道怎麼開口問。
🎙️ 氣氛與觀察
剛開始的時候,有幾位學員明顯很緊張,不知道該從哪問起。也有幾位直接舉手問問題,從「資安要怎麼入門?」到「駭客的日常長什麼樣子?」「怎麼用 AI 學資安?」甚至還有「針對黑客松的成果想幫 Side Project 做安全防護,可以怎麼開始?」
每個問題都讓我感到驚喜,也覺得這樣的互動方式非常適合第一次接觸資安的人——不用硬要聽一場全程技術導向的演講,而是可以根據自己的困惑與興趣提問,獲得量身打造的回答。
🌱 我怎麼走上資安這條路?
其中有位學員問我:「你以前也是資訊背景嗎?那你是怎麼學資安的?」
這個問題我也很常在課堂或講座中被問到,我總是從以下幾個關鍵階段分享:
- 國小階段: 因為家裡開網咖,從小就接觸電腦,但那時多半玩遊戲較多,雖然對資安沒概念。但其實父母給了很多魚餌,包含 OSINT 的概念都是從小養成的。
- 大學時期: 原本只想當前端工程師,進了逢甲資工系,開始想成為後端工程師,結果加入黑客社後接觸資安,從參加比賽(金盾獎)開始,完全看不懂題目,進而開始學 Linux、網路、CTF、網站安全。
- 為了幫過去的自己寫文章: 沒資源、沒人帶,所以我開始寫資安教學文,後來變成每年都會參加的《iThome 鐵人賽》的資安組寫手,也創立了自己的品牌與部落格。
- 創業後: 我將過去學習的痛點,整理成教案與平台,希望讓更多人「不必再走冤枉路」。
這樣的經歷也鼓勵很多剛開始學資安的朋友:你不需要一開始就懂很多,你只需要對世界保持好奇,然後動手做,動手測,動手解釋。
🎯 最常被問的資安問題(Q\&A 集錦)
這邊整理幾個現場問得最多的問題與我當下的回答,也補充一些我平常課堂上常被問到的重點:
Q1:學資安要從哪裡開始?
這可能是我最常聽到的問題,而我的回答通常是:「從你有興趣、正在用、或最熟悉的東西開始。」
你喜歡寫網站?那就從 Web Security 開始,學學 XSS、SQL Injection、IDOR 等常見漏洞,自己搭個 WordPress 測試站或用我的 lab.fefe.tw 練習環境操作看看。
你也可以嘗試建立一個網站,建立過程你會更知道怎麼寫會有漏洞。
你常用手機 App?可以研究 Android 應用程式的安全性,了解 APK 解包、權限管理與釣魚風險。
你喜歡玩 ChatGPT?那你已經站在了 AI 資安的第一線了,Prompt Injection、資料外洩與模型攻擊都是正在發展的熱門研究方向。
👉 總之,從「你熟悉的場域」開始練習資安思維,是最有效的切入點。
當你要攻擊特定的標的,你要先了解攻擊標的的架構是什麼。
Q2:語言要學哪一個?
這也是很多初學者的疑問,因為資安領域的資源分散、工具多樣,常讓人不知道從哪個語言下手。
我會這樣建議:
- Python: 萬用資安語言,寫工具、做自動化、資料處理、Web爬蟲、漏洞掃描都能用。
- Bash / Linux 命令列: 學會如何在終端機中操控電腦,是滲透測試與資安分析的基本功。
- JavaScript: 想玩 Web 漏洞的話必學,尤其是學習 XSS、前端 injection。
- C / C++: 如果你想往進階 exploit、逆向、緩衝區溢位走,C 是絕對不能繞過的。
此外,如果你是 App 開發者,也可以學學 Java(Android)、Swift(iOS)來理解應用層的安全風險。
🔍 重點是:語言不是目的,而是工具。你想解決什麼問題,就去學那個領域常用的語言。
Q3:是不是一定要考證照?
答案是——不一定,但有時候「考證照」能幫助你在迷路時建立一條明確的學習路徑。
像我自己考過 OSCP、OSWE、OSED、OSEP、OSWA 等 OffSec 證照,也有學員走 ISO 27001、CISSP、CEH、IPAS 等管理與政策路線。
如果你剛開始,我會推薦台灣的 IPAS 資安工程師初級與中級,價格便宜、內容實用、也容易找到社群與解題資源。
考證照的好處:
- 有明確範圍可讀、不怕不知道念什麼。
- 可當作履歷加分項。
- 有些企業部門或比賽會認可證照分數。
但也要提醒大家:
⚠️ 考過≠會用,證照≠實戰。
它只是驗證你「學會過」,但資安是一個需要不斷實作與更新的領域。
Q4:駭客日常到底在幹嘛?
你以為駭客每天都在打入人家的電腦,其實更多時候,我們活像一個「社會觀察者 + 推理專家 + 技術紀錄員」。
日常工作大概會長這樣:
- 用 Google Hack 查網站外洩資訊。
- 用瀏覽器 DevTools 測試表單、API 安不安全。
- 寫一點 Python 自動爬蟲、抓封包。
- 回報漏洞、寫報告、跟客戶開會溝通。
- 在 VM 裡搭建漏洞環境、模擬攻擊、做靶機挑戰。
- 深夜喝著咖啡 debug,「為什麼這 payload 沒打中?」
而現實面一點說:我們也常常花很多時間打開 Word 寫報告、做簡報、開會講解技術給主管、法務、甚至 HR 聽。
✅ 真正的駭客,不是酷,是細膩、好奇、能把看起來無聊的資訊重新解構成洞見的人。
🧩 實作展示:IDOR 與 XSS 漏洞現場演示
在第一場咖啡館互動中,我 demo 了從參加抽獎網站中發現 IDOR 的過程:只要改網址參數,就能看到別人的個資,這是台灣很多中小企業常見的問題。
在第二場中,我帶著學員觀察我自己寫的練習平台,示範什麼是 JavaScript 的 XSS 漏洞,如何從一個彈窗進階到偷 Cookie、跳轉頁面、繞過驗證等行為。大家看得目瞪口呆,紛紛表示「原來資安真的離我們這麼近」。
🎁 意外的禮物:從提問看見好奇心
有位學員問我:「怎麼練習講話?我很害羞。」
這讓我很感動,因為我以前也是不敢講話的人,我走上講課這條路,完全是被推著上去的。而後來能講,是因為我腦中會預設很多「講給誰聽」「怎麼比喻」「有什麼例子」的地圖。
我鼓勵他多說、多觀察、多整理——其實就像駭客一樣,駭客也是一種觀察者、轉譯者、解構者、創造者。
結語
這次 SITCON Camp 的視界咖啡館,對我來說不只是分享,更像是一場「對話冒險」。我從每一位學員的問題中,看見他們的起點、好奇與困惑,也看見每一位未來的駭客、工程師、創作者的雛形。
我想說的是——
如果你覺得自己不夠格、不知道從哪開始,請你記得,你並不孤單。這條資安路上,我也曾這麼走來,而我會持續陪你,一起走下去。
只要你願意動手、願意思考、願意提問,你就是資安世界的一份子。
📍更多資源請搜尋「飛飛 資安」
✉️ 有問題歡迎私訊或來課堂找我
🚪資安的門一直為你開著——勇敢敲門吧。
