安全测试

包含路由器基础配置（拨号上网、WiFi设置）、IP地址与DHCP配置、端口映射与UPnP开启、网络测速与带宽优化、WiFi信号增强、家庭设备组网调试等功能模块，可远程协助用户排查网络故障，优化网络设置，提升网络稳定性与速度。

本项目为Web应用安全渗透测试工具/平台，核心功能包含：SQL注入、XSS跨站脚本、CSRF跨站请求伪造等常见Web漏洞的自动化检测与手动渗透测试；支持BurpSuite联动扫描、漏洞复现与验证、安全风险等级评估；可生成标准化渗透测试报告，提供漏洞修复建议与安全加固方案，同时具备代码审计、权限绕过检

本次医学院附属医院渗透测试，核心围绕“医疗场景适配、隐私数据防护、合规达标、闭环管控”四大核心，贴合医院业务特性及安全需求设计功能。一是医疗场景化漏洞挖掘功能，针对性排查外网预约挂号、远程会诊等Web应用，内网HIS、EMR、PACS等核心医疗系统，以及诊疗设备、办公终端的各类安全漏洞，重点聚焦患者

本次集团渗透测试核心功能围绕“全面排查、精准定位、闭环整改、长效防护”四大维度展开，全面覆盖集团内外网安全检测需求。一是漏洞挖掘功能，通过多手段排查外网Web应用、服务器及内网终端、设备、服务的各类安全漏洞，明确漏洞等级、影响范围及潜在风险；二是风险评估功能，结合集团业务场景，分析漏洞对核心业务、客

漏洞挖掘需全面覆盖内网、外网两大场景，采用主动扫描、人工渗透、代码审计相结合的方式，精准排查各类安全隐患。外网重点挖掘Web应用漏洞（如SQL注入、XSS跨站脚本、CSRF跨站请求伪造、文件上传漏洞）、服务器端口暴露、弱口令、SSL证书过期及配置不当等问题；内网聚焦局域网设备（路由器、交换机）漏洞、

实现对主流web组件（如CMS、中间件、前端框架、服务器等）的指纹识别。构建一个可扩展的web指纹扫描工具，集成端口探测与目录扫描等辅助信息收集模块。开发一款图形化用户界面的本地桌面应用程序

核心功能围绕算网交付测评实操设计：1. 自动化扫描模块：集成登录爆破、XSS、目录遍历等17项等保必测项，自动执行扫描，无需人工逐条配置；​2. 证据链自动留存：实时记录请求响应、截图、POC代码，自动生成可直接用于等保验收的证据包；​3. 任务调度与监控：支持多项目并行测试，在React前端实时查

该工具是一款全面的硬件与系统安全测试套件，专注于检测和评估BitLocker加密机制的安全性，包括对硬件预引导PIN、启动密钥等弱口令问题进行深度扫描与渗透测试，帮助用户发现潜在的密码脆弱性；同时集成密码恢复功能，可通过漏洞利用或高级算法辅助找回遗忘的BitLocker密码。此外，工具还提供广泛的硬

主要功能包括：• 自动获取本机IP地址，作为扫描基准；• 支持用户输入CIDR格式的子网范围（如192.168.1.0/24）；• 并发Ping探测，快速识别局域网中存活主机；• 对存活主机进行TCP端口探测，识别常见服务（如HTTP、SSH、RDP、MySQL、Redis、Memcached等）；

GYscan是一款专注于内网横向移动和边界安全测试的专业工具，基于Go语言开发。该工具集成了丰富的内网渗透测试功能，包括端口扫描、服务识别、漏洞检测、远程命令执行、弱口令爆破等核心功能，为安全研究人员和渗透测试人员提供高效、可靠的内网安全评估解决方案。

iTestPro是一个前所未有的、功能全面的开源移动设备测试与诊断平台。它最初是我们内部孵化的专业工具，如今我们决定将其完整开源，旨在为全球的开发者、测试工程师、硬件爱好者和研究人员提供一个全功能、可深度定制的一站式测试解决方案。项目愿景：打破专业测试工具的技术壁垒，构建一个由社区共同驱动的、透明的

项目名称：湖南银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对业务系统进行渗透测试。 项目名称：长沙银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击；对业务系统进行渗透测试。 项目名称：省交通厅2024年攻防演练 项目角色：防守成员 项目内容： 负责项目防守以及溯源，防守期间单位未失分，名次靠前。 项目名称：省高速集团2025年攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，拿下多个系统控制权限。 项目名称：2023国家护网-宁波北仑亚洲第一火电厂 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对内网资产进行梳理形成资产台账、网络拓扑图，对互联网攻击面进行收敛。 项目名称：2023浙江农商行五省一市金融护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对可疑行为进行分析，确保不会因为误封禁导致业务停摆，并对真实攻击做出响应。同时协调各个厂商的防守，做到不同网络划分对应不同厂商，各司其职。 项目名称：2023亚运会、残运会护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对联通内部网络安全工单进行调度下发，做到24小时响应。 项目名称：2023椒江市大数据科技局攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，通过Spring Boot RCE进入当地龙头企业杰克科技内网，并且通过域接管超过一千八百台终端，并通过hash传递横向到生产车间，并探测到大量工控机存在弱口令及MS17-010。其余靶标单位也均获得突破口，最终取得第一的成绩。

1. [25%] 软件面向企业多分支互联场景，模拟总部与三个远程办公点网络隔离、路由与安全策略需求。 2. [50%] 项目功能模块包括： - VLAN 划分与子网规划，隔离各部门流量 - EIGRP 路由协议配置，实现各分支自动路由汇聚 - ACL 访问控制列表，保护关键服务器与内部管理网 - DHCP 服务部署，实现客户端自动获取 IP - WAN 链路冗余与负载分担 3. [25%] 技术选型与架构： - 使用 Cisco Packet Tracer 仿真全网拓扑 - 基于 EIGRP 构建可扩展路由体系 - 结合 ACL 与 DHCP 保证网络安全与自动化

1、专业网站与APP安全评估渗透测试服务 2、CCRC资质认证，为您的数字资产保驾护航！ 3、专业渗透测试：我们提供全面的网站和APP安全评估，深入挖掘潜在漏洞，确保您的系统坚如磐石。 4、详细安全评估：从代码审查到网络层防护，我们的专家团队为您全方位把脉，提前预防安全威胁。 5、CCRC资质认证：拥有权威的CCRC认证，我们的服务质量和专业水平得到官方认可，为您的安全需求提供可靠保障。 6、定制化解决方案：根据您的业务需求，量身定制安全策略，确保安全与效率并重。 立即联系：保护您的数字资产。

在某高速中心网络安全建设项目中，负责网络安全设备的搭建、调试与优化，确保网络系统的安全性与稳定性，满足高速中心对数据安全与业务连续性的高要求。项目实施过程中，作为主要技术负责人，负责与甲方（高速中心）及其他施工方进行沟通协调，确保项目顺利推进。

本人有13年的信息安全行业从业经验，现任技术总监，擅长风险评估、渗透测试、攻防演练、应急处置、安全运维、等保项目建设及整改、ISO27001体系（体系建设、运行、维护、咨询）、网络安全监测预警中心建设、风险管理（合规体系）等项目和工作经验。

对网上银行系统进行渗透测试，绕过前端多重限制（ssl加密、请求体多段式加密、时间戳），分析业务功能，找到存在逻辑漏洞的接口，发现存在越权查询漏洞，可以根据手机号查询到XX银行的其他人员的交易流水

使用半监督学习、特征选择、密度聚类算法，实现认证码识别、验证码识别，、、 也可以对任意图形进行识别分类。 100%自主知识产权。可转让源代码或模型文件。

1、熟悉安全测试流程，熟悉APPSCAN，BURPSUITE，NESUSS，NMAP，AWVS，SQLMAP等主流安全测试工具的使用，擅长web测试，APP测试（包括APP合规测试），对各种基础语言都有一定了解。 2、能够完成各个系统（主机、网络、数据库系统）的安全评估和加固。 3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。 4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。 5、学习过Bypass，掌握多种注入、跨站绕过手法及Webshell绕过手法。 6、学习过内网渗透，CobaltStrike掌握ew等内网穿透端口转发，提权，域渗透—哈希传递、黄金票据制作等操作手法 7、熟悉代码审计的操作，学习过一些白盒审计专属漏洞，变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。