Real Deploy: 30 May 2019
30.05.2019
ผ่านไปอีกปีแล้วสินะ ปีที่แล้วคือนอนบนตึก อดนอนทำค่าย(เป็นปีที่2) ดีสุดคือกินเค้กวันเกิดที่น้องๆปีแก่เอามาเซอร์ไพรซ
//ข้ามๆมันไปเถอะ
เอาเป็นว่า 1 ปีที่ผ่านมา กล้าพูดได้เต็มปากเลยว่าหลังจากสิ่งมหัศจรรย์อย่างคอน EXO ก็เว้นห่างจากอะไรท้าทายๆไปนานเลยทีเดียว โดยเฉพาะปี3เทอม1คือโบ้มๆมากจนไม่ได้หายใจหายคอเลยพี่จ๋า เทอมต่อมาถึงกับเททุกสิ่งอย่าง ขอโฟกัสเรื่องเรียน(และเกม)พอ //ไม่ขอพูดถึงเรื่องเรียน ซัฟเฟ่อร์เกินกว่าจะเอามาเล่าได้ จะตาย
ก็พอจะสรุปเหตุการณ์เด็ดๆที่เกิดขึ้นในปี 3 มาโดยสังเขปดังนี้
Security Tester at DataCircle
เรื่องก็เกิดมาจากว่า ตอนกำลังเรียนซัมเมอร์อยู่ อาจารย์ที่เคารพรักก็ทักมายื่น offer ว่ามี exISAG ต้องการคนไปช่วยงานทดสอบระบบแอพของธนาคาร (มีพี่ๆสอนงานให้) สนใจมั้ย
ยอมรับว่าตอนแรกสองจิตสองใจว่าแม่งเอ๊ย ทำดีป่ะวะ คือพึงสำเหนียกว่าความรู้นี่ก็หางอึ่งไง กลัวไปทำขายขี้หน้าเสียชื่อหมด อีกใจก็แบบเห้ย ได้เงินนะ ได้ประสบการณ์นะ ได้ลองทำงานจริงๆด้วย อะไรไม่รู้ค่อยไปเรียนรู้ทีหลังก็ได้
นั่นแหละค่ะ จุดเริ่มต้นแห่งการก้าวจาก Comfort Zone ครั้งใหญ่ในชีวิต
หลังจากรวบรวมความใจกล้าหน้าด้านมามากพอแล้ว ก็เลยตัดสินใจติดต่อไปสอบถามข้อมูลเลย แล้วก็เกิดมหกรรมการทดสอบความรู้ สัมปากเปล่าทางโทรศัพท์บ้าง Technical Practice บ้าง ในระยะเวลา 1 เดือน จนกระทั่งเข้าที่เข้าทางแล้ว ทางพี่ก็ตอบรับข้อเสนอ เย่ ได้เข้าทำงาน
— PS: เราทำ Playlist Technical Practice ในช่องยูทูปด้วย > DVWA Playground (Ref: root.me and DVWA)
เข้าโหมดจริงจังก่อน: เราได้ทำงานในออฟฟิศของธนาคารแห่งหนึ่งย่านรัชดาภิเศก โปรเจกต์นี้เป็นโปรเจกต์การพัฒนาแอพ ซึ่งเรามีหน้าที่ทดสอบการใช้งานต่างๆในเชิง Security เช่น Input Validation เวลากรอกข้อมูลเพื่อทำรายการ หรือการใช้ SQL Injection เพื่อ Bypass ไปเข้าถึงข้อมูลสำคัญๆของลูกค้าได้ ยันไปถึงการทดสอบด้วย XSS Client-Bypass เพื่อมั่นใจว่าโค้ด JS จะไม่ถูกรันไปโจมตีระบบ จริงๆการทดสอบก็ไม่ได้ยากมาก เพียงใช้ Tool ที่ชื่อว่า Burf Suite ทำ Forward-Intrude-Repeat ไป modify parameter ใน HTML Request เสร็จจดไว้ว่าเจออะไรไม่ชอบมาพากลหรือไม่ แล้วส่งไปให้ทีมแอพแก้บั๊กตรงนี้กันต่อไป (โดนทีมแอพสาปส่งหลายรอบมาก หนักสุดคือทำเซิร์ฟล่มเพราะรัน Transaction เยอะเกิน555555555)
โหมดไร้สาระบ้าง: หนึ่งคือภาษา มีอยู่ช่วงนึงจะมีทีมเพนเทสจากมาเลมานั่งทำงานในห้องด้วย ละมีอยู่วันนึง พี่เลี้ยงไม่มา ทิ้งให้นี่อยู่กับมาเลทั้งวัน เลิ่กลั่กถึงขนาดปรับภาษาไม่ทัน ไปสั่งข้าวเป็นอิ้ง55555555 สองคือได้รู้ว่าการเดินทางไปทำงานมันเหน่ยมาก! ตื่นเจ็ดโมงไปขึ้นสองแถวเพื่อไปเบียดคนใน AirportLink ก่อนจะลากสารร่างมาต่อ MRT แล้วเดินเท้าไปถึงออฟฟิศประมาณเกือบ 10 โมง และกลับถึงหอประมาณ 3 ทุ่ม แล้วช่วงนั้นเรียนซัมเมอร์ด้วยก็คื้อ… ซัฟเฟ่อร์มากแม่ช่วยด้วย
แต่โดยรวมแล้ว จัดว่าคุ้มเลยทีเดียว ได้ทั้งประสบการณ์การทดลองงาน เงิน พี่ๆน่ารักมากๆ แถม issue ที่เราเจอถูก raise ในทีมพัฒนาด้วย รู้สึกตัวลอยอย่างไม่เคยเป็นมาก่อน ก็อยากจะแนะนำว่าถ้ามีโอกาสแบบนี้ ไปเถอะ ไปลอง
มหกรรมหาที่ฝึกงาน
เมื่อขึ้นปี3แล้ว 1ใน Todo-List ก็คือ “การหาที่ฝึกงาน” นั่นเองค่ะ ซึ่งเราต้องไปฝึกงานตอนซัมเมอร์ปี3 ไม่งั้นไม่จบได้นาจา
ยื่นไปหลายที่ แต่ก็มีทั้งพลาดเพราะเขาไม่เรียก(Huawei) และจำต้องตัดใจเพราะมาออกผลหลังได้ที่ฝึกงานไปแล้ว(บอกเลยว่าดันเป็น 2 ใน 4 ของ BIG4 อย่าง Deloitte กับ EY โคตรเสียดาย) ที่เรียกไปสัมภาษณ์มีทั้งหมด 3 ที่คือ Seagate, Backyard และ PwC จะรีวิวการสัมภาษณ์งานประมาณนี้
Seagate: ที่แรกที่ติดต่อไป เลือกสาขาเทพารักษ์เพราะใกล้บ้าน ส่งเรซูเม่เป็นงาน Security ตามที่ตัวเองถนัด แต่แล้วก็ต้องแอบเซ็งหน่อยๆเพราะมีแต่แผนก SoftDev อ่ะเอาวะ ลองดู ได้สัมทางโทรศัพท์เสร็จก็ปลงละว่าแม่งเอ๊ย ไม่ติดแน่นอนเพราะไม่ได้มาเวย์นี้ จนกระทั่ง ณ วันที่นี่เป็นสัมที่ Backyard โทรมาหาเราบอกว่าจะย้ายเราไปแผนกอื่น บอกว่ารอหัวหน้าแผนกกลับมาจากตปท และหลังจากวันนั้น…ข้าพเจ้าก็ไม่ได้รับการติดต่อจากที่นี่อีกเลย… เส้าจังวะ
Backyard: ได้ยินเสียงลือเสียงเล่าอ้างจากรุ่นพี่มาว่าเป็นบริษัท Startup ด้าน Data Analytic และ Machine Learning ที่เจ๋งมากๆในไทย น่าเสียดายที่ไม่มีตำแหน่ง Security เลยลงแผนกที่ถนัดรองลงมานั่นก็คือ Front-End Development(ทั้งที่ความรู้ตอนนั้นคือถึงแค่ระดับ JS/JSON ด้วยซ้ำ framework คือไม่คล่องแรงมาก) สัมภาษณ์แบบชิวๆ แต่ก็ไม่ได้ชิวเพราะกังวลพอสมควร (พี่ๆแอบกระซิบมาด้วยว่า “เตรียม Vue มาให้ดีๆนะ :)”) สัมภาษณ์เสร็จ โดนพาไปทดสอบเขียนโค้ดเล็กๆจากเว็บ Codeingame ก็เป็นโค้ดง่ายๆไม่ได้ซับซ้อนอะไร เหนือสิ่งอื่นใดคือออฟฟิศสวยมาก ขนมอร่อย
FYI: Vue.js เป็นไลบรารี่ที่มีการผสมผสานกันระหว่าง Angular และ React เพื่อสร้าง Reactive Component ที่สามารถอัพเดทตัวเองได้ สำหรับผู้ที่สนใจก็สามารถลองศึกษาได้ที่ > https://vuejs.org/v2/guide/
PwC: 1 ในบริษัท BIG4 ด้านการตรวจสอบบัญชีรายใหญ่ระดับโลก ตอนเมลมาหารอบแรก อีเวนติดสอบไฟนอล เลยจำต้องปฏิเสธไป ปรากฎเมลมาหารอบสองหลังสอบเสร็จไปแล้ว อ่ะ ยิ้มสิคะงานนี้ แถมงานมีตอนเช้า บ่ายไปเซนเวิลพอดี เลยตอบตกลงไป อันนี้เป็นการประเมินความสามารถด้านภาษาก่อนคัดเข้ารอบสัมภาษณ์ ให้ทำข้อสอบภาษาอังกฤษ มี 2 ส่วน ส่วนแรกเป็น Grammar ยากกว่า TOEIC นิดหน่อยแต่ไม่เกินความสามารถ แต่ด่านสองนี่แหละค่ะของจริง 3 Essays ใน 1 ชม. กูอาคเรียลแบบมึงเอ๊ย ถ้าไม่เจ๋งจริงคือไม่มีทางทำทันกุพูดเรย และใช่ค่ะ คนที่อ่อน writing อย่างข้าพเจ้าก็แพ้ไป ทำไม่ทัน ผลก็ตามคาด ไม่ผ่านไปรอบถัดไป
สรุปก็คือได้ฝึกงานที่ Backyard แผนก Front-End Developer ทำเรื่องเอกสารเรียบร้อย เตรียมไปรายงานตัวเข้าฝึกงานอย่างเป็นทางการสัปดาห์หน้า เดี๋ยวรู้เรย ความซัฟเฟ่อร์ระหว่างการฝึกงาน หึๆๆๆๆ
มหกรรมล่าสนามแข่งที่บ้าพลังที่สุดในชีวิต
หลังจากลงสนามแข่งล่าสุดก็รอบ Cisco NetRiders ก็ไม่ได้ลงแข่งอะไรจริงจังอีกเลยไปเทอมนึง จนกระทั่งขึ้นปี3 อยู่ๆ Event แข่งต่างๆก็เข้ามาพร้อมๆกัน อ่ะ ด้วยความที่ตอนนั้นไฟแรง บวกว่างๆเพราะเรียนไม่เยอะ เลยตระเวนเดินสายลงงานอีเว้น รวมแล้วเทอมนั้นลงแข่งไปทั้งหมด 5 งาน!!!
Juniper NXT Gen 2018: เป็นการสอบวัดความรู้ด้าน Network ด้วยข้อสอบมาตรฐาน JNCIA Certification สองรอบแรกเป็นสอบออนไลน์ สอบสามเป็นไฟนอลคัดเอา 10 คนมาแข่งออฟไลน์ ซึ่งผลก็คือตันแค่ที่รอบสอง ถามว่าผ่านมารอบนี้ได้ไงก็งงๆเหมือนกัน เอาเหอะ ได้ชีทมาอ่านเล่นก็โอเคละ
Huawei ICT Competition 2018–2019: การสอบวัดความรู้ทาง Network เหมือนกัน แต่ based on Huawei Device และโฟกัสที่ Routing&Switching, WLAN, Security รอบแรกเป็นสอบออนไลน์(มีให้เรียนออนไลน์ก่อนด้วยแต่เป็น English) ซึ่งได้คะแนนระดับเรี่ยดิน(เกือบๆ500จากเต็ม1000) ก็ไม่น่าจะติดหรอก แต่อ้าว ได้รอบแคมป์ 200 คนเฉย เป็นงง ส่วนแคมป์เป็นการอบรม3วัน เรียน2วัน(เรียนไม่ทันด้วยเพราะเนื้อหาเยอะมากบวกเวลาไม่พอ เลทเยอะ) วันสุดท้ายสอบออนไลน์ คะแนนก็ไม่ต่างจากรอบแรกเท่าไหร่(คอมสอบค้างด้วยชิบหาย) นกทั้งมือถือทั้งใบเซอร์ไปดิ
สรุปสั้นๆ ก็คือเอาเนื้อหา IST ทั้งเทอมมายัดรวมกันในสองวัน ฆ่าฉันให้ตายเถิดหมอ
KPMG Cybersecurity 2018: สองงานบนเป็นแข่งเดียว อันนี้แข่งทีม4คน จัดโดย 1 ในบริษัท BIG4 อย่าง KPMG เดิมทีจะเป็นใช้ข้อสอบคัดเลือกก่อนแล้วค่อยไปแข่งอีกที อันนี้คือรอบแรกตู้ม พามารวมกันหาคนไปมาเลทีเดียวจบๆ การแข่งจะเป็น Jeopardy ธีมล่าหาสมบัติ(flag) มีการคุมตัวละคร สำรวจห้อง หาของ ทักNPC ปกติว่าหา flag ยากแล้ว อันนี้หาโจทย์แม่งก็ยากด้วย วาดแมพกันพรึ่บพรั่บไปหมดละก็ต้องแก็โจทย์ด้วย อุแง้ ละวันนั้นคือ MV Tempo ออก ใจกุไม่อยู่กับการแข่งแน้วจ้า ณ จุดนั้น สรุป จบการแข่งขันด้วยอันดับ 12 และอาหารโรงแรมนี้ไม่อร่อย จบข่าว
Thaisftt ICT Cybersecurity 11th: หรือชื่องานเต็มๆก็คือ โคตรการค้นหาสุดยอดฝีมือโทรคมนาคมและไอซีทีเทิดพระเกียรติครั้งที่ 11 (ชื่อยาวไปไหนอิชิบหาย) จัดโดย มสวท TOT G-Able แข่งฝ่าย ICT Cybersecurity แบบทีม 3 คน อันนี้มาธีมแผนที่โลก 1 ประเทศ 1 โจทย์ มีทั้ง Jeopardy ปกติ ความรู้รอบตัว และ Offensive-Defensive แฮคเข้า Server แต่ก็ต้องป้องกันไม่ให้คนอื่นมาแฮกด้วย (แรกๆคือตัดเน็ตจ้า ไม่ให้ใช้เน็ต แบบเคียดกันเลยว่าความรู้รอบตัวกับCryptoกุจาทำยังไง) ครึ่งหลังมี Persent ซึ่งกุบ้งมาก แต่ตอนแข่งรอบแรกดันคะแนนห่างจากทั้งที่1และที่3เกินเบอร์มาก ก็เลยจบการแข่งขันไปในอันดับที่ 2 ได้ตังกินหนมมา 20,000
ป.ล. อาหารงานนี้อร่อยกว่างานข้างบน
Thailand CTF Competition 2018: งานสุดท้ายของเทอม แข่งทีม 3 คน แบบ Jeopardy ไล่หา flag ตามเคย เป็นแข่งแบบออนไลน์ ทีมงานจะปาโจทย์มาตู้มเดียว ให้เวลา 11:00 วันเสาร์ถึง 11:00 วันอาทิตย์ ความตลกก็คือทำได้ 2–3 ข้อแล้วก็เทไปกินชาบูแล้วนอน จบ5555555555555
SEC-GIRL Workshop
เท้าความก่อนว่า SEG-GIRL คือคอมมิวนิตี้ที่รวมสตรีสายไอทีที่สนใจ Security ซึ่งจะมีงาน Workshop เป็นระยะๆ มา3ครั้ง ส่วนตัวก็ได้ไปร่วมงานมาแล้ว 2 ครั้งก็คือครั้งที่ 2 และ 3
SEG-GIRL #2: รอบนี้มาในธีม Risk Management ว่าด้วยการหาความเสี่ยงและการรับมือแก้ไขความเสี่ยงต่างๆที่จะเกิดขึ้นได้ในองค์กรของเรา อันนี้จะแนว Theory จ๋ามาก สาย Technical อาจจะแอบเซ็งหน่อยๆ
SEG-GIRL #3: ใครที่ผิดหวังจากรอบที่แล้วก็สามารถมาลงรอบนี้ได้เพราะมาในธีม Become a Pentester เย้ๆๆ ได้ลองแฮคลองเจาะระบบแล้ว เราจะได้VMมาเป็นKali ได้เรียนทฤษฎีนิดๆหน่อยๆแล้วก็ลองแฮคเลย ก็ไม่มีอะไรมากนอกจากหา flag ที่ซ่อนอยู่ในตัว VM ที่ให้มา
SEC-GIRL #4 กำลังจะเปิดรับสมัครวันที่ 31 นี้ ก็ได้แต่สวดมนต์ภาวนาว่าขอให้ได้อีกรอบเถิด <! — UDT: ล่าสุดกดบัตรติดแล้วนะจ๊า เจอกันวันที่ 22 มิถุนาศกนี้ >
TOEIC is coming!!!
เมื่อใกล้ต้องจบไปทำงาน ก็ต้องเริ่มเตรียมเรซูเม่กัน อีกหนึ่งสิ่งที่ควรเตรียมไปด้วยนั่นก็คือ คะแนนการสอบความสามารถการใช้ภาษาอังกฤษ หลายที่ Required หรือบางที่ไม่แต่ว่าสามารถใช้เพิ่มเงินเดือนได้ หรือพิจารณาเป็นพิเศษ
ซึ่งลาดกระบังก็ได้มีการจัดสอบ English Exit Exam นักศึกษาทุกคนต้องเข้าร่วมการสอบของสถาบันเพื่อจบการศึกษา แต่ช้าก่อน ถ้าท่านมีคะแนน TOEIC TOEFL IELTS ก็สามารถเอามายื่นแทนได้โดยไม่ต้องไปสอบกับสถาบัน
ค่ะ ก็เลยไปสอบ โดยมีเป้าหมายว่าอยากได้ 750+
ก็เลยไปลงคอร์ส TOEIC750+ ของ XChange ไปเรียนตอนปิดเทอมซัมเมอร์ ก่อนจะลงสนามจริงที่อโศก ข้อสอบไม่ยากมาก มีสองพาร์ทคือ Listening กับ Reading อันแรกต้องมีสติ ถ้าหลุดคือชิบหายเพราะเขาไม่เปิดซ้ำและมีเวลาตัดสินใจและกาแค่6วิเท่านั้น! พาร์ทสองคือ How to answer 100 choices within 75 minutes ที่แท้ทรู ใครอ่านไม่เร็ว บริหารเวลาไม่ดีก็แพ้ไป ทำไม่ทัน ซึ่งรอบแรกออกมาก็คื้อ… 715 คะแนน… วดฟ
เอาใหม่ ลงสอบครั้งที่ 2 รอบนี้สอบที่มอเลย เสียค่าใช้จ่าย 900 ถ้วน(สอบที่ศูนย์ใหญ่ 1500) ปรากฎแม่งเอ๊ย สติหลุดไปสามข้อแรก ผลออกมาคือบ้งกว่ารอบแรกอีกอีเวน สวนทางเว่อ รอบแรกฟังเยอะอ่านน้อย รอบนี้ฟังน้อยอ่านเยอะ พอค่ะ ไปรีอีกทีตอนปี4เลยละกัน เหน่ยแล้ว
Chrismas Gift: Playstation 4
เขียนไว้ละ เชิญรับชมดมกลิ่นขิงได้ที่ >
สรุปสถานะตอนนี้ มีเกมสิบกว่าเกม แต่เล่นจบไปไม่กี่เกม และมีแนวโน้มว่าจะซื้อมาดองเรื่อยๆ ฮือ //ล้องห้าย
3 Session Events within 1 Month
ในช่วงกลางเมษาถึงต้นพฤษภา เราได้มีโอกาสไปร่วมฟัง Session สาย IT ต่างๆ ไปรับชมบริษัทใหญ่ๆดังๆ ว่าเขาทำอะไรเด็ดๆออกมาบ้าง มีวิธีแนวคิดการทำงานยังไง
- Virtual ASEAN Cisco Connect 2019
- ExCEKMITL ExpSharing
- Microsoft Future of Work Summit
ก็ถ้าไม่ขี้เกียจอาจจะเอามาเขียนลงบล็อกย้อนหลังเอานะ
Be prepared for Project in 4th year
หลังจากสอบคัดเลือกไปสหกิจก็ต้องพลาดโอกาสนั้นไปย่างน่าเสียดายเพราะสอบไม่ติด ทางเลือกสุดท้ายที่เหลือก็คือต้องทำโปรเจกต์จบ ส่วนตัวว่าคงไม่ทำสาย Security หรอก หาหัวข้อยาก คงไปไม่ WebApp ก็ Data แทน
สรุปแล้วหลังจากหาคู่เจค หาที่ปรึกษา ดูหัวข้อกันมาเป็นเวลานานก็มาลงที่โปรเจกต์หัวข้อ ระบบแนะนำ จ่ะ เกิดมหกรรมการฟาร์ม Data Analytic+Machine Learning แบบโคตร Crash Course ยิงกูดิ
พอละ มหกรรมโอ้วจีซั้สไครส์ตั่งต่างที่เกิดขึ้นในปีสาม ปีสี่ขอซัฟเฟ่อร์และโปรเจคจบกับหางานทำเถอะนุไหว้ล่ะ
-mrggaebsong (a.k.a #RE_PAIR)
Hello World! 