DEF CON 演講完整收藏：駭客必收藏的免費學習資源

前陣子在準備 CTF 和研究漏洞時，發現一個超棒的資源 — DEF CON Media Server上有完整收藏的所有演講影片，而且完全免費、無需註冊就能直接下載，對於想精進技術的台灣駭客來說，這絕對是個寶藏。

為什麼 DEF CON 演講值得看？

DEF CON 是全球最大的駭客會議，每年有數百場高品質的技術演講，涵蓋：

• 最新的漏洞研究和 0-day 揭露
• 實戰的滲透測試技巧
• IoT 和嵌入式設備安全
• 供應鏈攻擊和真實案例分析
• 紅隊技術和 EDR 繞過
• 硬體安全和逆向工程

這些演講都是第一手的研究成果，講者通常是在該領域挖到重大漏洞或開發出新技術的研究員，直接看演講能學到更多底層細節和思路。

資源在哪裡？

DEF CON Media Server 上有完整的 DEF CON 影片庫：

• DEF CON 33 (2025): https://media.defcon.org/DEF%20CON%2033/
• DEF CON 32 (2024): https://media.defcon.org/DEF%20CON%2032/
• DEF CON 31 (2023): https://media.defcon.org/DEF%20CON%2031/
• DEF CON 30 (2022): https://media.defcon.org/DEF%20CON%2030/

每個年度約有 100-150 場演講，可以單獨下載想看的演講。

我根據自己的研究方向和實際觀看經驗，整理了一些自己喜歡的演講：

🔥 2024-2025 年度重點

The XZ Backdoor Story (DC32)

• 2024 年最震撼的供應鏈攻擊事件完整解析，了解攻擊者如何潛伏兩年植入後門

Ghosts in the Machine Check (DC33) - Christopher Domas

• 硬體層級的漏洞利用

🛠️ IoT / 嵌入式設備安全

如果你在做 IoT 滲透測試或韌體分析：

Hacking Millions of Modems (DC32) - Sam Curry

• 大規模數據機漏洞挖掘的實戰經驗

Breaking BMC - The Forgotten Key to the Kingdom (DC31)

• 伺服器 BMC 的安全問題，從硬體層面控制整台伺服器

💻 Web 安全

0.0.0.0 Day - Exploiting Localhost APIs From Browser (DC32)

• 創新的瀏覽器攻擊面，如何從瀏覽器打到本地服務

SQL Injection Isn't Dead - Protocol Level Smuggling (DC32)

• Protocol-level 的 SQL injection 新技術，SQL injection 還沒死，只是換了形式

Smashing the state machine - web race conditions (DC31)

• Race condition 的深入研究，實戰案例和利用技巧

🎯 CTF / 競賽相關

Claude - Climbing a CTF Scoreboard Near You (DC33)

• AI 如何解 CTF 題目，對 CTF player 來說是了解 AI 能力的好機會

Clash, Burn, and Exploit - kernelCTF (DC32)

• Google 的 kernelCTF 競賽技巧，Kernel exploit 的實戰經驗

🔧 逆向工程

Reverse Engineering MicroPython Frozen Modules (DC32)

• MicroPython 逆向工程，對 IoT 設備分析很有用

總結

DEF CON 的演講資源是免費的、高品質的學習素材，對於台灣的駭客社群來說，這是個很好的機會去了解國際上最新的安全研究和攻擊技術，不用擔心英文聽力，大部分演講都有 slides 輔助，而且看多了就會習慣，從自己有興趣的主題開始看起，慢慢建立自己的技術體系。

延伸資源

• DEF CON Media Server: https://media.defcon.org/