个人介绍
1、熟悉安全测试流程,熟悉APPSCAN,BURPSUITE,NESUSS,NMAP,AWVS,SQLMAP等主流安全测试工具的使用,擅长web测试,APP测试(包括APP合规测试),对各种基础语言都有一定了解。
2、能够完成各个系统(主机、网络、数据库系统)的安全评估和加固。
3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。
4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。
5、学习过Bypass,掌握多种注入、跨站绕过手法及Webshell绕过手法。
6、学习过内网渗透,CobaltStrike掌握ew等内网穿透端口转发,提权,域渗透—哈希传递、黄金票据制作等操作手法
7、熟悉代码审计的操作,学习过一些白盒审计专属漏洞,变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。
工作经历
2021-12-03 -至今杭州安恒信息科技有限公司渗透测试专家
负责渗透测试、红队评估、代码审计、应急响应、团队培训、渠道商安全培训等多项工作。
教育经历
2016-09-01 - 2020-06-01广东工业大学信息安全本科
技能
1、熟悉安全测试流程,熟悉APPSCAN,BURPSUITE,NESUSS,NMAP,AWVS,SQLMAP等主流安全测试工具的使用,擅长web测试,APP测试(包括APP合规测试),对各种基础语言都有一定了解。 2、能够完成各个系统(主机、网络、数据库系统)的安全评估和加固。 3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。 4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。 5、学习过Bypass,掌握多种注入、跨站绕过手法及Webshell绕过手法。 6、学习过内网渗透,CobaltStrike掌握ew等内网穿透端口转发,提权,域渗透—哈希传递、黄金票据制作等操作手法 7、熟悉代码审计的操作,学习过一些白盒审计专属漏洞,变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。
1、熟悉安全测试流程,熟悉APPSCAN,BURPSUITE,NESUSS,NMAP,AWVS,SQLMAP等主流安全测试工具的使用,擅长web测试,APP测试(包括APP合规测试),对各种基础语言都有一定了解。 2、能够完成各个系统(主机、网络、数据库系统)的安全评估和加固。 3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。 4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。 5、学习过Bypass,掌握多种注入、跨站绕过手法及Webshell绕过手法。 6、学习过内网渗透,CobaltStrike掌握ew等内网穿透端口转发,提权,域渗透—哈希传递、黄金票据制作等操作手法 7、熟悉代码审计的操作,学习过一些白盒审计专属漏洞,变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。
1、熟悉安全测试流程,熟悉APPSCAN,BURPSUITE,NESUSS,NMAP,AWVS,SQLMAP等主流安全测试工具的使用,擅长web测试,APP测试(包括APP合规测试),对各种基础语言都有一定了解。 2、能够完成各个系统(主机、网络、数据库系统)的安全评估和加固。 3、熟悉PHP等常见的web代码,熟悉SQL注入、XSS、CSRF、文件上传、逻辑漏洞、XXE、变量覆盖、本地远程文件包含、反序列化等常见的web安全漏洞原理及利用和修复工作。 4、熟悉信息收集手法手段[端口、子域名、目录、指纹识别、旁站、C段、内容敏感信息[谷歌语法、网络空间搜索引擎、等]]。 5、学习过Bypass,掌握多种注入、跨站绕过手法及Webshell绕过手法。 6、学习过内网渗透,CobaltStrike掌握ew等内网穿透端口转发,提权,域渗透—哈希传递、黄金票据制作等操作手法 7、熟悉代码审计的操作,学习过一些白盒审计专属漏洞,变量覆盖、本地|远程文件包含[LFI|RFI]、反序列化。复现过一些现有CMS通杀漏洞。