戴夫寇爾

戴夫寇爾股份有限公司（英語：DEVCORE）是一家總部位於臺灣臺北的「主動式攻擊型」資安公司^[3][4]，提供紅隊演練、滲透測試及資安顧問服務。創辦於2012年^[5]，為台灣首個^[6]提供「紅隊演練」服務的公司，服務客戶產業別包含政府、金融、電商、半導體、醫療^[7][8]。

戴夫寇爾
DEVCORE
公司類型	股份有限公司
成立	2012年
創辦人	翁浩正、賴韋廷、許復凱、徐念恩、岑志豪、王鶴雄[1][2]
總部	台灣台北市松山區八德路三段32號13樓
产业	資訊安全
服務	滲透測試、紅隊演練、資安顧問與教育訓練服務
网站	devco.re

主要服務

• 紅隊演練：在不影響企業營運之前提下，對企業進行模擬入侵攻擊，並在有限的時間內從各種進入點執行攻擊，嘗試達成企業指定的測試任務^[9][10][11]。

• 滲透測試^[12][13]：嘗試入侵企業網站、資訊系統、設備等軟硬體，找出各種潛在的漏洞，驗證企業的資料與設備是否可被竊取或破壞，並進行系統與硬體的安全評估^[14][15][16]。

• 資安顧問服務^[17][18]、教育訓練^[19][20]

重要研究

• 2016 年，通報 Accellion File Transfer Appliance（FTA）弱點^[21][22][23]。
• 2017 年，通報 GitHub Enterprise 遠程代碼執行弱點^[24]。
• 2017 年，通報 Unix 開放原始碼軟體 Exim 含有已釋放記憶體（Use-After-Free，UAF）及阻斷服務（denial-of-service，簡稱DoS） 弱點^[25][26][27]。
• 2018 年，通報 Exim 位於 base64 解碼函式的溢出漏洞^[28][29][30]。
• 2019 年，通報帕羅奧圖網路產品 GlobalProtect 存在格式化字串（format string）弱點^{[31][32][33][33]}。
• 2019 年，通報五個防特網產品 Fortigate SSL VPN 漏洞^[31][34][35]。
• 2019 年，通報七個 Jenkins 持續整合工具的遠程代碼執行漏洞^[36][37]。
• 2019 年，通報七個 Pulse Secure SSL VPN 漏洞^[38][39]。
• 2019 年，通報五個中華電信數據機設置不當所產生的命令注入弱點^[40]。
• 2020 年，透過 Bug Bounty Program 通報臉書 MobileIron 行動裝置管理（Mobile Device Management, MDM）上的遠端程式碼執行漏洞^[41]。
• 2021 年，通報八個微軟 Exchange Server 漏洞，分為ProxyLogon、ProxyOracle、ProxyShell 三個主要攻擊鏈^{[42][43][44][45]}。
• 2022 年，通報三個 Microsoft 網際網路資訊服務 （Internet Information Services；IIS）漏洞，包含CVE-2022-22040、CVE-2022-22025、CVE-2022-30209。^{[46][47][48][49]}
• 2022 年，於 Pwn2Own 競賽揭露多個廠牌印表機的漏洞，包含CVE-2022-24673、CVE-2022-3942、CVE-2021-44734。^[50][51][52]
• 2022 年，通報三個微軟 Windows Kernel 的漏洞，包含CVE-2022-38025、CVE-2022-38043、CVE-2022-34719。^[53][54][55]

參考資料

1. 吳家豪. 台灣資安實力聞名國際 業者：人才不是偶然. 中央通訊社. 2021-03-28 [2022-02-11]. （原始内容存档于2022-02-11） （中文（繁體））. 
2. 陳炳宏. 不一樣的思維 白帽駭客Orange細說挖出微軟漏洞始末. 自由時報. 2021-03-20 [2022-02-11]. （原始内容存档于2022-05-17） （中文（繁體））. 
3. 陳君毅. 先發現微軟bug，卻被捲入駭客風波！戴夫寇爾賣的是怎樣的「攻擊型」資安服務？. 數位時代. 2021-03-16 [2021-10-28]. （原始内容存档于2022-05-16） （中文（臺灣））. 
4. 蔡尚勳. DEVCORE獲白帽駭客最高殿堂Pwn2Own競賽亞軍. 經濟日報. 2021-11-13 [2022-02-11]. （原始内容存档于2022-05-15） （中文（繁體））. 
5. 王若璞. 終結駭客任務，寫DEVCORE在資安戰場的熱血戰鬥. 數位時代. 2018-04-22 [2021-10-28]. （原始内容存档于2022-05-16） （中文（臺灣））. 
6. 蔡尚勳. 戴夫寇爾獲資安界奧斯卡最佳伺服器漏洞獎 | 科技新視野 | 商情. 經濟日報. 2021-08-05 [2021-10-28]. （原始内容存档于2021-10-29） （中文（臺灣））. 
7. 採訪中心. 二度拿下資安界奧斯卡獎！戴夫寇爾找到微軟bug，獲頒最佳伺服器漏洞獎. 數位時代. 2021-08-05 [2021-10-28]. （原始内容存档于2021-10-28） （中文（臺灣））. 
8. 馬瑞璿. 「我們想幹一番大事業來幫台灣！」　四位輔大資工男做白帽駭客　發現微軟伺服器漏洞名震國際. 今周刊 (1271期). 2021-04-28 [2022-02-11]. （原始内容存档于2021-10-28） （中文（繁體））. 
9. 「不知攻、焉知防」，目標導向的紅隊演練提升台灣資安能量. 資安人科技網. 2022-03-01 [2022-09-15]. （原始内容存档于2022-01-21） （英语）. 
10. McMillan, Robert; Dustin Volz. Microsoft Probes Whether Leak Played Role in Suspected Chinese Hack. The Wall Street Journal. 2021-03-12 [2022-09-15]. ISSN 0099-9660. （原始内容存档于2022-08-22） （美国英语）. 
11. Ferry, Timothy. Cybercrime Poses a Mounting Problem in Taiwan. Taiwan Business TOPICS. 2018-05-17 [2022-09-15]. （原始内容存档于2021-10-22） （美国英语）. 
12. Wu, Benson. Taiwan Sees Its Cyber Capabilities as the Hard Reality of Soft Power. The National Bureau of Asian Research (NBR). 2017-08-24 [2022-09-15]. （原始内容存档于2021-09-27） （英语）. 
13. 洪羿漣. 教練級滲透測試 不只健檢還教你強身. 網管人. 2016-11-02. 
14. 姚惠茹. DEVCORE 以紅隊演練、滲透測試！主動式駭客攻擊揪出企業資安漏洞. TechNews 科技新報. 2022-01-12 [2022-09-15]. （原始内容存档于2022-01-19） （中文（臺灣））. 
15. Ilascu, Ionut. The Microsoft Exchange hacks: How they started and where we are. BleepingComputer. 2021-03-16 [2022-09-15]. （原始内容存档于2022-10-08） （美国英语）. 
16. Nichols, Shaun. 'ProxyShell' Exchange bugs resurface after presentation. SearchSecurity. 2021-08-09 [2022-09-15]. （原始内容存档于2022-01-07） （英语）. 
17. 編輯部. 協防全球資安！DEVCORE 率先發現微軟 Exchange Server 漏洞. 資安人科技網. 2021-03-10 [2022-09-15]. （原始内容存档于2022-05-04） （英语）. 
18. 吳家豪. 資安事件頻傳 白帽駭客團隊量身健檢專找漏洞. 中央社. 2021-03-28 [2022-09-15]. （原始内容存档于2022-05-04） （中文（臺灣））. 
19. 陳曉莉. Exim含有遠端程式攻擊漏洞，逾400萬郵件伺服器受累!. iThome Online. 2017-11-29 [2022-09-15]. （原始内容存档于2022-05-04） （中文（繁體））. 
20. Fitz, Mark. 14 Top Taiwan Cyber Security Companies and Startups of 2021 - BestStartup.Asia. 2021-06-26 [2022-09-15] （美国英语）. 
21. 太威了！臺灣資安研究員發現臉書伺服器被植入後門程式. iThome. [2022-11-22]. （原始内容存档于2022-11-22） （中文（繁體））. 
22. Constantin, Lucian. Facebook bug hunter finds a back door left by hackers on corporate server. Computerworld. 2016-04-22 [2022-11-22]. （原始内容存档于2022-10-14） （英语）. 
23. Kovacs, Eduard. Researcher Finds Malicious Web Shell on Facebook Server | SecurityWeek.Com. www.securityweek.com. 2016-04-22 [2022-11-22]. （原始内容存档于2023-03-14）. 
24. Chris, Brook. GitHub Code Execution Bug Fetches $18,000 Bounty. threatpost.com. 2017-03-17 [2022-11-22]. （原始内容存档于2022-12-07） （英语）. 
25. 陳曉莉. Exim含有遠端程式攻擊漏洞，逾400萬郵件伺服器受累!. iThome. 2017-11-29 [2022-11-22]. （原始内容存档于2022-05-04） （中文（繁體））. 
26. Kovacs, Eduard. Critical Code Execution Flaw Found in Exim | SecurityWeek.Com. www.securityweek.com. 2017-11-27 [2022-11-22]. （原始内容存档于2023-03-14）. 
27. Paganini, Pierluigi. Unix mailer Exim is affected by RCE, DoS vulnerabilities. Apply the workaround asap. Security Affairs. 2017-11-27 [2022-11-22]. （原始内容存档于2022-11-22） （美国英语）. 
28. 陳曉莉. 台灣資安業者Devcore揭Exim遠端攻擊漏洞，波及全球半數郵件伺服器. iThome. 2018-03-07 [2022-11-22]. （原始内容存档于2022-11-22） （中文（繁體））. 
29. Zorz, Zeljka. Exim vulnerability opens 400,000 servers to remote code execution. Help Net Security. 2018-03-07 [2022-11-22]. （原始内容存档于2023-01-28） （美国英语）. 
30. Tung, Liam. Open-source Exim remote attack bug: 400,000 servers still vulnerable, patch now. ZDNET. 2018-03-07 [2022-11-22]. （原始内容存档于2022-12-19） （英语）. 
31. 陳曉莉. 臺灣研究人員攻陷Palo Alto、Fortinet與Pulse Secure等SSL VPN服務漏洞. iThome. 2019-07-24 [2022-11-22]. （原始内容存档于2022-11-22） （中文（繁體））. 
32. 黃彥棻. 黑帽大會揭露致命SSL VPN漏洞，臺資安研究員駭入Twitter喚醒企業重視漏洞修補. iThome. 2019-08-09 [2022-11-22]. （原始内容存档于2022-11-22） （中文（繁體））. 
33. Whittaker, Zack. Flaws in widely used corporate VPNs put company secrets at risk. TechCrunch. 2019-07-23 [2022-11-22]. （原始内容存档于2023-02-07） （美国英语）. 
34. Goodin, Dan. Hackers are actively trying to steal passwords from two widely used VPNs. Ars Technica. 2019-08-24 [2022-11-22]. （原始内容存档于2023-01-31） （美国英语）. 
35. TWCERT/CC. 台灣資安公司揭露多家企業級 VPN 服務漏洞後，駭客便用來攔截流量. 台灣電腦網路危機處理暨協調中心. 2019-08-28 [2022-11-22]. （原始内容存档于2022-11-22）. 
36. 羅正漢. 2019年度網站攻擊技法公布，臺灣資安專家研究連三年獲肯定，再以兩項名列10大. iThome. 2020-03-03 [2023-02-07]. （原始内容存档于2023-02-07） （中文（繁體））. 
37. Kettle, James. Top 10 web hacking techniques of 2019. PortSwigger Research. 2020-02-17 [2023-02-07]. （原始内容存档于2023-02-07）. 
38. 黑帽大會揭露致命SSL VPN漏洞，臺資安研究員駭入Twitter喚醒企業重視漏洞修補. iThome. [2023-02-07]. （原始内容存档于2022-11-22） （中文（繁體））. 
39. Whittaker, Zack. Flaws in widely used corporate VPNs put company secrets at risk. TechCrunch. 2019-07-23 [2023-02-07]. （原始内容存档于2023-02-07） （美国英语）. 
40. 周峻佑. 物聯網裝置攻擊頻傳，戴夫寇爾揭露中華電信數據機設置不當的漏洞. iThome. 2019-09-27 [2023-02-07]. （原始内容存档于2023-02-07） （中文（繁體））. 
41. ASIF, SUDAIS. Researcher hacked Facebook by exploiting flaws in MobileIron MDM. Hack Read. 2020-09-15 [2023-02-07]. （原始内容存档于2023-02-07） （美国英语）. 
42. 邱倢芯. 微軟緊急修補 Exchange Server 漏洞，背後功臣是來自台灣資安團隊. Tech News. 2021-03-10 [2023-02-07]. （原始内容存档于2023-02-07） （中文（繁體））. 
43. Partida, Devin. Understanding ProxyLogon Vulnerabilities and How to Secure Them - CPO Magazine. CPO Magazine. 2021-06-04 [2023-02-07]. （原始内容存档于2021-06-04） （美国英语）. 
44. Abrams, Lawrence. Microsoft Exchange servers are getting hacked via ProxyShell exploits. Bleeping Computer. 2021-08-12 [2023-02-07]. （原始内容存档于2023-04-14） （美国英语）. 
45. Lakshmanan, Ravie. Hackers Actively Searching for Unpatched Microsoft Exchange Servers. The Hacker News. 2021-08-13 [2023-02-07]. （原始内容存档于2023-01-29） （英语）. 
46. 資安人科技網. 資安人科技網. [2023-03-31]. （原始内容存档于2023-03-31） （英语）. 
47. CVE - CVE-2022-22040. cve.mitre.org. [2023-03-31]. （原始内容存档于2023-03-31）. 
48. CVE - CVE-2022-22025. cve.mitre.org. [2023-03-31]. （原始内容存档于2023-03-31）. 
49. CVE - CVE-2022-30209. cve.mitre.org. [2023-03-31]. （原始内容存档于2023-03-31）. 
50. CVE - CVE-2022-24673. cve.mitre.org. [2023-04-26]. （原始内容存档于2023-04-26）. 
51. NVD - CVE-2022-3942. nvd.nist.gov. [2023-04-26]. （原始内容存档于2023-04-26）. 
52. CVE - CVE-2021-44734. cve.mitre.org. [2023-04-26]. （原始内容存档于2023-04-29）. 
53. CVE - CVE-2022-38025. cve.mitre.org. [2023-04-27]. （原始内容存档于2023-04-27）. 
54. CVE - CVE-2022-38043. cve.mitre.org. [2023-04-27]. （原始内容存档于2023-04-27）. 
55. CVE - CVE-2022-34719. cve.mitre.org. [2023-04-27]. （原始内容存档于2023-04-27）.