UP简历小U

+86 13800138000|up.resume@example.com|北京

资深网络安全工程师，拥有丰富的渗透测试与漏洞挖掘经验，尤其擅长Web应用、API接口及移动应用的安全评估。主导并参与多个复杂系统的安全渗透项目，在互联网金融领域积累了深厚的实战经验，熟练运用各类安全工具与技术，致力于通过技术手段提升系统整体安全防护能力，有效降低业务风险。

某知名互联网金融公司

2021-07 - 2024-07

主导并深入执行公司核心互联网金融平台的渗透测试工作，覆盖Web应用、移动App及后端API接口，累计发现并推动修复超过150个高中危漏洞，有效降低平台安全风险。
在一次针对核心交易系统的深度渗透测试中，成功发现并利用接口逻辑漏洞（如未授权访问、越权操作、支付绕过等），在不影响业务的前提下，模拟攻击成功获取超过100万用户数据访问权限（模拟），并提交详细报告推动修复，确保了资金安全。
负责制定和优化渗透测试流程与规范，引入自动化扫描工具与手工测试相结合的模式，将漏洞发现效率提升了20%，误报率降低至5%以下。
针对高并发交易场景，深入分析系统架构与业务逻辑，挖掘潜在的业务逻辑缺陷和并发安全问题，协助开发团队优化代码，提升系统在极端情况下的安全性。
定期开展安全培训，向开发、测试团队普及安全开发生命周期（SDL）理念和安全编码规范，显著提升团队整体安全意识和代码质量。
参与应急响应，在生产环境出现安全事件时，快速定位问题、分析攻击路径、提供解决方案，将平均应急响应时间缩短了30%。

公司内部项目

2023-03 - 2023-06

项目背景： 针对公司核心互联网金融平台进行全面的安全评估，重点关注接口层面的业务逻辑安全性。
个人职责： 项目负责人，负责渗透测试方案设计、执行、漏洞挖掘及报告撰写。
技术与方法： 运用Burp Suite、SQLMap等工具，结合黑盒与灰盒测试方法，对平台的用户注册、登录、交易、提现、充值等核心业务接口进行细致分析。特别关注参数篡改、身份认证绕过、越权操作、支付流程漏洞等。
核心成果： 成功发现并验证了多达12个高危接口逻辑漏洞，包括：
- 未授权访问漏洞：通过修改请求参数，成功访问并修改其他用户的敏感信息。
- 越权操作漏洞：普通用户可执行管理员权限操作，如批量导出用户数据。
- 支付流程绕过漏洞：在特定条件下，可不经支付成功完成交易。
- 短信验证码爆破漏洞：发现验证码无有效次数限制，存在被恶意利用风险。
推动修复： 撰写详细的漏洞报告，包含漏洞原理、复现步骤、影响范围及修复建议，与开发团队紧密沟通，推动所有高危漏洞在2周内完成修复并进行复测验证，有效避免了潜在数百万级别的经济损失和用户数据泄露风险。

公司内部项目

2022-08 - 2022-11

项目背景： 随着微服务架构的推广，公司内部API接口数量激增，急需建立一套系统化的API安全评估与测试体系。
个人职责： 核心成员，负责API接口安全测试规范制定、工具选型及部分关键API的渗透测试。
技术与方法： 调研并引入Postman、SoapUI等API测试工具，结合Oauth2.0、JWT等认证机制，设计针对API的自动化与手动测试用例。重点关注API的认证、授权、输入验证、速率限制等安全机制。
核心成果： 建立了涵盖500+个API接口的安全测试用例库，并通过自动化测试发现30+个中低危API安全配置问题。成功在3个核心API中发现并修复了注入漏洞和敏感信息泄露问题，使API整体安全得分提升15%。
体系化贡献： 参与编写了《API安全测试指南》，为开发团队提供了API安全设计的最佳实践，有效预防了同类漏洞的再次发生。