安全测试

GYscan是一款专注于内网横向移动和边界安全测试的专业工具，基于Go语言开发。该工具集成了丰富的内网渗透测试功能，包括端口扫描、服务识别、漏洞检测、远程命令执行、弱口令爆破等核心功能，为安全研究人员和渗透测试人员提供高效、可靠的内网安全评估解决方案。

iTestPro是一个前所未有的、功能全面的开源移动设备测试与诊断平台。它最初是我们内部孵化的专业工具，如今我们决定将其完整开源，旨在为全球的开发者、测试工程师、硬件爱好者和研究人员提供一个全功能、可深度定制的一站式测试解决方案。项目愿景：打破专业测试工具的技术壁垒，构建一个由社区共同驱动的、透明的

项目名称：湖南银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对业务系统进行渗透测试。 项目名称：长沙银行2024安全服务项目 项目角色：安全服务工程师 项目内容： 对流量设备进行流量分析，研判是否为真实攻击；对业务系统进行渗透测试。 项目名称：省交通厅2024年攻防演练 项目角色：防守成员 项目内容： 负责项目防守以及溯源，防守期间单位未失分，名次靠前。 项目名称：省高速集团2025年攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，拿下多个系统控制权限。 项目名称：2023国家护网-宁波北仑亚洲第一火电厂 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对内网资产进行梳理形成资产台账、网络拓扑图，对互联网攻击面进行收敛。 项目名称：2023浙江农商行五省一市金融护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，对可疑行为进行分析，确保不会因为误封禁导致业务停摆，并对真实攻击做出响应。同时协调各个厂商的防守，做到不同网络划分对应不同厂商，各司其职。 项目名称：2023亚运会、残运会护网 项目角色：防守成员 项目内容： 对流量设备进行流量分析，研判是否为真实攻击，并对联通内部网络安全工单进行调度下发，做到24小时响应。 项目名称：2023椒江市大数据科技局攻防演练 项目角色：攻击队成员 项目内容： 对项目授权范围内的信息系统开展攻击，负责外围打点以及内网后渗透，通过Spring Boot RCE进入当地龙头企业杰克科技内网，并且通过域接管超过一千八百台终端，并通过hash传递横向到生产车间，并探测到大量工控机存在弱口令及MS17-010。其余靶标单位也均获得突破口，最终取得第一的成绩。

1. [25%] 软件面向企业多分支互联场景，模拟总部与三个远程办公点网络隔离、路由与安全策略需求。 2. [50%] 项目功能模块包括： - VLAN 划分与子网规划，隔离各部门流量 - EIGRP 路由协议配置，实现各分支自动路由汇聚 - ACL 访问控制列表，保护关键服务器与内部管理网 - DHCP 服务部署，实现客户端自动获取 IP - WAN 链路冗余与负载分担 3. [25%] 技术选型与架构： - 使用 Cisco Packet Tracer 仿真全网拓扑 - 基于 EIGRP 构建可扩展路由体系 - 结合 ACL 与 DHCP 保证网络安全与自动化

1、专业网站与APP安全评估渗透测试服务 2、CCRC资质认证，为您的数字资产保驾护航！ 3、专业渗透测试：我们提供全面的网站和APP安全评估，深入挖掘潜在漏洞，确保您的系统坚如磐石。 4、详细安全评估：从代码审查到网络层防护，我们的专家团队为您全方位把脉，提前预防安全威胁。 5、CCRC资质认证：拥有权威的CCRC认证，我们的服务质量和专业水平得到官方认可，为您的安全需求提供可靠保障。 6、定制化解决方案：根据您的业务需求，量身定制安全策略，确保安全与效率并重。 立即联系：保护您的数字资产。

在某高速中心网络安全建设项目中，负责网络安全设备的搭建、调试与优化，确保网络系统的安全性与稳定性，满足高速中心对数据安全与业务连续性的高要求。项目实施过程中，作为主要技术负责人，负责与甲方（高速中心）及其他施工方进行沟通协调，确保项目顺利推进。

本人有13年的信息安全行业从业经验，现任技术总监，擅长风险评估、渗透测试、攻防演练、应急处置、安全运维、等保项目建设及整改、ISO27001体系（体系建设、运行、维护、咨询）、网络安全监测预警中心建设、风险管理（合规体系）等项目和工作经验。

对网上银行系统进行渗透测试，绕过前端多重限制（ssl加密、请求体多段式加密、时间戳），分析业务功能，找到存在逻辑漏洞的接口，发现存在越权查询漏洞，可以根据手机号查询到XX银行的其他人员的交易流水

使用半监督学习、特征选择、密度聚类算法，实现认证码识别、验证码识别，、、 也可以对任意图形进行识别分类。 100%自主知识产权。可转让源代码或模型文件。

1、熟悉安全测试流程，熟悉APPSCAN，BURPSUITE，NESUSS，NMAP，AWVS，SQLMAP等主流安全测试工具的使用，擅长web测试，APP测试（包括APP合规测试），对各种基础语言都有一定了解。 2、能够完成各个系统（主机、网络、数据库系统）的安全评估和加固。 3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。 4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。 5、学习过Bypass，掌握多种注入、跨站绕过手法及Webshell绕过手法。 6、学习过内网渗透，CobaltStrike掌握ew等内网穿透端口转发，提权，域渗透—哈希传递、黄金票据制作等操作手法 7、熟悉代码审计的操作，学习过一些白盒审计专属漏洞，变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。