渗透测试

业务洞察项目目标：收集海量数据，转化为核心资产，分析和识别消费者需求。开放数据，进行数据整合和业务洞察。构建数据价值闭环，实现数据资本化。 测试技能 1、使用 postman 或 jmeter 测试工具进行接口测试工作，对接口功能、接口文档、接口 安全、数据落地等进行测试。共发现接口bug 总计 500 余个 2、搭建 sosotest 自动化测试平台 ，使用 python 编写接口自动化测试脚本近 3000 个， 一方面提高了测试效率 ，另一方面同样发现了较多接口bug。节省约 20%人力成本。 3、制定安全测试方案 ，并进行渗透测试及越权测试 ，发现较多安全问题 流程优化与工作汇报 1、测试小组中发现的问题及时向测试总监汇报 ， 寻求支持与指导。并在工作中梳理和优化测试流程。 2、每周向总监汇报小组负责项目的进度及存在的风险等。

2024年9月，hw复盘阶段开展对某系统的黑盒渗透测试 该测试禁止使用扫描器、不提供ip、端口、url等资产信息，仅提供单位名称 通过手动访问+burp被动扫描+Yakit被动扫描+人工分析等合规方式，发现弱口令、shiro未授权访问等安全漏洞。 整理为测试报告后提交审核通过，结合其他项目成果报告，项目顺利验收。 内网横向时使用arp-scan、find工具、cs、nmap、arp-spider、metasploit等网络安全渗透测试工具，获得关键系统shell。

项目名称：湖南银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对业务系统进行渗透测试。 项目名称：长沙银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击；对业务系统进行渗透测试。 项目名称：省交通厅2024年攻防演练 项目角色：防守成员 项目内容： 负责项目防守以及溯源，防守期间单位未失分，名次靠前。 项目名称：省高速集团2025年攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，拿下多个系统控制权限。 项目名称：2023国家护网-宁波北仑亚洲第一火电厂 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对内网资产进行梳理形成资产台账、网络拓扑图，对互联网攻击面进行收敛。 项目名称：2023浙江农商行五省一市金融护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对可疑行为进行分析，确保不会因为误封禁导致业务停摆，并对真实攻击做出响应。同时协调各个厂商的防守，做到不同网络划分对应不同厂商，各司其职。 项目名称：2023亚运会、残运会护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对联通内部网络安全工单进行调度下发，做到24小时响应。 项目名称：2023椒江市大数据科技局攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，通过Spring Boot RCE进入当地龙头企业杰克科技内网，并且通过域接管超过一千八百台终端，并通过hash传递横向到生产车间，并探测到大量工控机存在弱口令及MS17-010。其余靶标单位也均获得突破口，最终取得第一的成绩。

1.政务云平台告警，驻场单位访问矿池，通过内部dns解析记录找到挖矿主机，通过主机上的记录溯源分析 清除木马并攥写报告， 2.护网行动中通过日志告警锁定漏洞主机 及时堵上报告并攥写防守报告。 3.护网行动中 通过蜜罐的异常，推导有漏报并成功找到被入侵的痕迹， 4.公司中了挖矿大数据调度服务器，有很多配置，无法直接回滚 快照只能清除 手动一步一步清除

一、面向核心场景，解决行业痛点​​ ​目标用户：​​ 政府机构、国有央企、三级医院、高等院校等对档案合规性与数据安全要求极高的组织。 ​核心问题解决：​​ ​合规管理挑战​ 满足《档案管理条例》对电子档案“四性检测”（真实性、完整性、可用性、安全性）的强制要求，实现全生命周期追溯； 深度适配国产化信创生态（如麒麟OS、达梦数据库），符合国家自主可控战略。 ​数据安全风险​ 通过乙级保密资质设计，防范敏感档案（政府公文/病历/科研数据）泄露风险； 支持私有化、混合云分级部署，满足政企数据隔离需求。 ​效率瓶颈​ 替代人工归档与跨部门协作低效问题，实现海量档案秒级检索与智能调度。 ​二、超越市场常规方案的五大核心竞争力 ​全栈安全防护体系​ ​涉密级防护：​​ 集成红外监控、RFID追踪与门禁联动，实时阻断非法出入库行为； ​等保三级标准：​​ 前端防XSS攻击+传输层HTTPS加密+后端渗透测试，通过国家安全认证。 > 对比常规方案：仅基础权限管控，缺乏主动防御机制。 ​双端协同的智能管理​ ​电脑端（B/S架构）：​​ 支持复杂档案批量处理、3D虚拟库房管理及多维度BI分析看板； ​移动端：​​ 基于React Native开发，实现档案扫码借阅、离线审批、移动端电子盖章等场景化功能。 > 对比常规方案：移动端仅提供基础查询，无业务流程闭环能力。 ​多源异构数据治理​ 融合结构化（SQLServer/Oracle）与非结构化数据（MongoDB），支持千万级档案全文检索与语义分析； 内置AI驱动的自动分类引擎，较传统关键词检索效率提升300%。 ​信创生态深度适配​ 全链路兼容国产芯片（飞腾/鲲鹏）+操作系统（麒麟/UOS），支持达梦数据库无缝迁移； 提供API网关对接政务云、医疗HIS等第三方系统，打破信息孤岛。 ​全流程合规保障​ 自动化四性检测引擎实时校验电子档案合规性，规避人工抽检盲区；实现物理库房管理，物理档案与电子档案串联。 操作日志区块链存证，满足《档案法》审计追溯要求。 ​三、分层技术架构与双端实现方案 ​1. 系统架构分层设计​ 层级 技术选型 ​前端​ 电脑端：Vue3+ElementUI｜移动端：React Native+TS跨平台框架 ​后端​ Java/Kotlin（SpringCloud微服务）+Node.js异步网关 ​存储​ 关系库：MySQL/Oracle｜非关系库：MongoDB｜缓存：Redis集群 ​运维​ K8S容器化+Prometheus监控+Zabbix告警 ​2. 双端功能差异化设计​ ​电脑端核心模块​ 虚拟库房管控：RFID盘点+环境传感数据可视化； 多层级审批引擎：支持会签/回退/终止等复杂流程。 ​移动端专属能力​ 离线借阅审批：预设权限策略实现无网环境签批； 二维码溯源管理：扫码获取档案流转全链路记录。 ​诚建平台以国产化适配为基、安全管控为界、智能双端为翼，为政企客户构建“全域可控、全程可溯、全时可用”的档案管理基座。

该系统可实现对接、管理用户各种类型的外呼线路；拥有空号检测模块；可高效的管理外呼任务，外呼名单，外呼策略；实现自动建立外呼语音通话的功能。且语音识别准、语义交互能力强、语音合成流畅。 工作职责： 1、使用 postman 或 jmeter 测试工具进行接口测试工作，对接口功能、接口文档、接口 安全、数据落地等进行测试。共发现接口bug 总计 500 余个 2、搭建 sosotest 自动化测试平台 ，使用 python 编写接口自动化测试脚本近 3000 个， 一方面提高了测试效率 ，另一方面同样发现了较多接口bug。节省约 20%人力成本。 3、制定安全测试方案 ，并进行渗透测试及越权测试 ，发现较多安全问题 流程优化与工作汇报 1、测试小组中发现的问题及时向测试总监汇报 ， 寻求支持与指导。并在工作中梳理和 优化测试流程。 2、每周向总监汇报小组负责项目的进度及存在的风险等。

具有4年hvv经验,ctf竞赛，src漏洞挖掘，中移（苏州）研发项目渗透测试，金融政府等项目漏洞挖掘项目经验。 ● 2024年护网经历: 2024年4月全国法院护网（淮安中级法院全国第一,个人贡献1万分） 2024江苏省网安专项行动（58家单位获得前15名次） 2024年1月江苏省大数据电子政务外网网络安全攻防演练三等奖 2024年9月江苏省电子政务外网攻防演练三等奖 2024年江苏省网安重点行业专项行动第六名 2024锡常联合网安行动第五名（获取网信办优秀支撑单位） 2024网安南京行动第五名（获取网信办优秀支撑单位） 2024年苏州工业园区攻防演练第三名 2024年苏州市网安行动（获取网信办优秀支撑单位） 2024年常州市网安行动（获取网信办优秀支撑单位） 2024年江苏省建设银行2024重保支撑 ● 2023年护网经历: 苏州教育护网3号第一名 苏州卫健护网4号第一名 2023张家港护网第一名 2023护网常熟行动第二名 网安2023吴江行动第三名 2023高新区网络安全攻防演练第一名 2023吴中区吴盾行动第一名 参与网安2023省级护网行动 网安2023镇江行动 网安2023江苏省住建厅攻防 ● 2022年护网经历，参与多次网安行动,如 2022镇江飞行检查第二名 2022网安南京行动第一名 2022网安苏州行动第三名 2022苏州高新区攻防演练第一名 网安2022苏州教育第一名 2022新华报业内部攻防演练第一名 2022南京弱口令专项行动第一名 2022园区政务云攻防演练第一名 2022无锡网安行动 2022铸盾行动 2022常熟网安行动 2022吴江区攻防演练 网安2022宿迁行动 2022河北省公安hw行动等

氢能车辆公共数据采集平台开发 车企平台转发数据、数据清洗、数据加工、数据归档、数据备份及功能开发与可视化 建设目的是对全域氢燃料电池车辆、加氢站、氢发电等场景进行数据采集、监控等 氢安全的监控平台 6个月周期计划文字描述 （共24周） 第一阶段：需求分析与架构设计（第1周-第2周） 目标：完成技术架构蓝图设计与核心组件选型验证 关键任务 1.架构设计 构建服务架构 划分例如 数据采集、清洗、存储、分析、可视化5大核心服务 定义GB/T32960标准消息格式 实现设备长连接通信 设计并发连接池 构建元数据管理库 2.技术验证 测试理论环境下的数据吞吐能力 完成与Tbox的数据对接测试 交付物 架构设计文档 技术选型验证结果 核心接口API定义文档 第二阶段：数据采集层开发（第3周-第6周） 目标：完成车端/站端/发电设备数据采集模块开发 关键任务 1.车端采集 数据接入网关，对GB/T32960协议解析 实现车辆自动注册、断线重连 2.站端对接 加氢站数据适配 实现氢气质量传感器数据采集（温度/压力/纯度三参数） 构建垃圾制氢站的传感器数据采集 交付物 数据采集测试jar包 采集性能测试结果 第三阶段：数据处理层开发（第7周-第10周） 目标：构建实时数据流水线 关键任务 1.数据清洗 实现消息过滤、去重 开发氢安全规则引擎 氢浓度超限告警 燃料电池温度异常检测 2.数据加工 实现车辆状况数据库模型 加氢效率数据库模型 发电系统健康情况数据库模型 交付物： 数据清洗组件 实时设备状态计算的代码 氢安全告警日志配置 第四阶段：数据存储与管理层开发（第11周-第14周） 目标：构建混合存储架构 关键任务 1.分层存储 存储实时运行数据 MySQL构建车辆档案库（VIN、车型、电池型号等元数据） 冷数据归档到历史数据仓库 2.数据治理 支持数据搜索追踪 实现数据质量评分 支持GB/T32960字段检索 交付物： 混合存储架构部署脚本 数据治理部分代码 基于实验数据测试的数据质量报告 第五阶段：可视化与监控层开发（第15周-第18周） 目标：完成大屏展示与运维平台 关键任务 1.可视化开发 开发车辆地图 T-Box在线看板 构建加氢站运营看板（含氢气加注量/设备利用率指标） 开发发电系统效率曲线（对比理论值与实际值） 2.监控体系 构建系统问题告警监控 实现短信+邮件双通道告警通知 交付物： 可视化大屏工程文件（含数据接口） 监控告警规则配置 基础用户手册 第六阶段：测试与上线（第19周-第24周） 目标：完成全链路压力测试与生产部署 关键任务 1.测试验证 实际环境工程测试 基础部署环境的网络安全筛查 2.上线部署 根据要求构建服务集群 交付物： 测试报告 部署架构图（含网络拓扑/安全策略）

cnvd平台成果，总排名在100以内，在其他src也有成果。

小马阅卷”是一款专为 K12（小学、初中、高中）学校设计的答题卡扫描阅卷软件，适用于月考、期中考试、期末考试等多种考试场景，提供单校版本和多校联考版本。融合了 AI 智能识别技术、桌面软件技术、Web 技术、高速扫描仪技术以及微信小程序技术，搭建的现代化的智能阅卷平台。 涉及技术：1.阿里云服务产品，云服务器技术、oss对象存储技术。2.opencv图像识别技术，用于识别答题卡。3.客户端连接技术，适配市场上大部分扫描仪协议。4.同时支持微信小程序与pc端。

1、专业网站与APP安全评估渗透测试服务 2、CCRC资质认证，为您的数字资产保驾护航！ 3、专业渗透测试：我们提供全面的网站和APP安全评估，深入挖掘潜在漏洞，确保您的系统坚如磐石。 4、详细安全评估：从代码审查到网络层防护，我们的专家团队为您全方位把脉，提前预防安全威胁。 5、CCRC资质认证：拥有权威的CCRC认证，我们的服务质量和专业水平得到官方认可，为您的安全需求提供可靠保障。 6、定制化解决方案：根据您的业务需求，量身定制安全策略，确保安全与效率并重。 立即联系：保护您的数字资产。

本人有13年的信息安全行业从业经验，现任技术总监，擅长风险评估、渗透测试、攻防演练、应急处置、安全运维、等保项目建设及整改、ISO27001体系（体系建设、运行、维护、咨询）、网络安全监测预警中心建设、风险管理（合规体系）等项目和工作经验。

在启用宏的offcie下，使用者打开office文档后，vb宏会自动发送本目录下的10个doc文件到指定邮箱，这一动作不会使打开文档者发现。添加了社会工程方面的文字用于测试。 主要用于防病毒软件功能，云启发杀毒，病毒软件伪装检测等。个人爱好开发。

我负责项目的漏洞扫描与修复模块，对windows和linux系统木马病毒溯源，采用Python编程语言和开源漏洞扫描工具，如OWASP Zap。通过深度集成自动扫描和手动测试，实现全面的漏洞检测与修复。最终，项目提供了高效的漏洞管理系统，大幅度提升了系统的整体安全性。 在项目中，面临不同系统和应用的复杂性，调整扫描策略以减少误报和漏报是一个挑战。通过精细的配置参数和引入人工审核，成功解决了这一问题，确保了准确的漏洞检测。

面向某市进行各区县企业云上及本地应用进行渗透测试 采用 Xray 等自动化工具进行主被动扫描，并利用 BurpSuite、gobuster等手动收集资产，评估脆弱性 结合手动排查与 Nessus、Goby 等漏扫工具，发现企业云上资产敏感信息与风险点 利用 CS 与 MSF 内置加密免杀技术获得立足点，进行横向渗透

1.本方案面向甲方公司，用模拟黑客攻击的方式测试出网站可能出现的安全问题 2.网站的安全来自于渗透测试人员的专业水平，及测试范围，本人曾经帮助公安拿下诈骗分子的后台，及服务器。帮助其钓鱼，获取犯罪嫌疑人名单 下图是对别的公司进行的漏洞挖掘

淘宝爬虫是一种用于从淘宝网站提取商品信息的自动化程序。 淘宝爬虫能够通过编写脚本，自动访问淘宝网站的页面，从中抓取所需的数据。这些数据通常包括商品的名称、价格、销量、店铺信息和链接等。淘宝爬虫的实现主要依赖于一些技术手段，如使用Selenium库进行浏览器自动化操作，模拟人工搜索和滚动页面，从而触发页面动态加载更多的商品信息。

对某App的AES加密key和iv生成分析；RSA的私钥构造逻辑分析。完成对RSA的私钥构造方法分析，输出解密算法的so动态库文件，完成产品安全研发工作

1.负责后台赛事,场地,区域,座位模块的维护 2.负责给小程序端提供数据接口,提供下订单支付接口 3.使用了java语言开发,若依框架,前端vue,MySQL等技术

定制化爬虫开发：根据客户需求，定制开发符合要求的爬虫程序，包括网页爬虫、API爬虫等。 数据抓取服务：根据客户需求，提供数据抓取服务，包括数据清洗、整理、存储等。 技术支持与维护：提供技术支持和后期维护服务，确保爬虫程序的稳定运行和数据的持续更新。