[討論] 如何最大化工作成果?

各位大大好
小弟是名懷抱著資安夢的韌體仔
最近在工作中發現一個目前尚未被揭露的系統底層資安漏洞
因希望有朝一日能轉換跑道至資安領域
希望能將此次發現轉化成小弟在資安領域的敲門磚
故發文詢問各位大大意見
感謝各位大大，感激不盡

小弟對於資安的理解，對某些大大而言非常外行
如果以下內容有任何錯誤 或 令您啼笑皆非的想法
希望大大手下留情，別鞭得太重QQ

=====資安漏洞=====
模組A 先前被通報存在 漏洞a (CVSS 7.5)
模組B 是為了解決 漏洞a
模組B 的原理是存取特定資料前，必須先輸入密碼以解鎖存取保護
小弟發現 模組B 存在 漏洞b
利用 漏洞b，可以繞過密碼驗證，強行解鎖並直接竄改管理者密碼

=====影響層面=====
因為小弟成為韌體仔還不到半年
只知道好像很多底層參數需要管理者權限才能動
但具體可以達到什麼程度，小弟還沒概念
目前實驗發現可以開關某些 I/O port 跟 亂改參數導致系統 shut down
好像還可以偷塞東西進記憶體，然後引導系統去執行（還在研究怎麼弄）

=====疑問=====
Q1. 該如何最大限度的確保自己的Credit?
以小弟對資安事件揭露機制的認識
好像不會紀錄發現者或第一個揭露者的資訊
雖然小弟的發現跟去年熱門的"log4j"相比，明顯微不足道
小弟想好好抓住此次機會，希望能作為進入資安領域的契機
目前還沒有人揭露相關漏洞，擔心拖太久會被人搶先一步

Q2. 該如何在面試時，呈現此次成果呢？
主要有兩大顧慮：可信度 & 被告

首先是"可信度"問題
如果僅以上述"資安漏洞"的內容來描述小弟的發現
依照好友反饋，感覺很像是自己瞎掰的

再來是"被告"問題
為了避免讓人覺得小弟在瞎掰的印象
勢必得透漏部分細節
透漏得越多，被告的可能性越高

目前小弟打算錄一小段實機演示影片
把過程中跟演示內容無關的部分上馬賽克
希望大大們提點需要注意的部分

Q3. 如何避免面試官對小弟"誠信度"的疑慮?
具規模的公司，通常都會將"誠信度"納入選才評分中
(還是這只是小弟的偏見?)
為了展示此次成果，無可避免地需要揭露一些外人難以得知的資訊
然而某某公司內部機密洩漏的新聞時有所聞
小弟擔心在展示過程中沒拿捏好尺度
會讓面試官心生疑慮

這樣就陷入了一個微妙的 trade off
說得詳細具體，雖然可信度上升，但會導致個人誠信度下降
說得模糊籠統，讓人感覺在瞎掰，直接出局
(讓人感覺在瞎掰好像也會降低誠信度)

Q4. 小弟與面試官的認知差距
人最害怕的莫過於 不自知 與 自我感覺良好
小弟擔心前述所有的擔憂只是自己的一廂情願
說不定對面試官而言，小弟的成果微不足道，加不了多少分
可能面試官更看重的是近期版上熱門的"刷題"
小弟想向有經驗的大大請教
如果想進入資安領域，一般面試官最重視的項目有哪些？
想憑一個小發現來證明自己的對資安領域的嚮往或能力，是否太異想天開了？

==========
後續將依照各位大大的意見補充
再次感謝各位大大，謝謝

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.43.176.134 (臺灣)
※ 文章網址: https://www.ptt.cc/Soft_Job/M.1665005971.A.AA8
※ 編輯: Voltaire3756 (114.43.176.134 臺灣), 10/06/2022 05:41:51

Q4. 小弟與面試官的認知差距
人最害怕的莫過於 不自知 與 自我感覺良好
小弟擔心前述所有的擔憂只是自己的一廂情願
說不定對面試官而言，小弟的成果微不足道，加不了多少分
可能面試官更看重的是近期版上熱門的"刷題"
小弟想向有經驗的大大請教
如果想進入資安領域，一般面試官最重視的項目有哪些？
想憑一個小發現來證明自己的對資安領域的嚮往或能力，是否太異想天開了？

==========
後續將依照各位大大的意見補充
再次感謝各位大大，謝謝

--

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.43.176.134 (臺灣) ※ 編輯: Voltaire3756 (114.43.176.134 臺灣), 10/06/2022 05:41:51

大大不要QQ給小弟一點活路……

※ 編輯: Voltaire3756 (59.125.98.180 臺灣), 10/07/2022 13:24:55