燕云校尉
1月前来过
全职 · 800/日  ·  17400/月
工作时间: 工作日09:00-17:00、周末09:00-17:00工作地点: 北京远程
服务企业: 2家累计提交: 2工时
联系方式:
********
********
********
聊一聊

使用APP扫码聊一聊

个人介绍

掌握主流的OWASP TOP 10漏洞挖掘和修复方法及多种渗透工具使用,能够独⽴参与到整个测试过程,较为熟悉红队流程,包括从外围打点的到内网域控集群、终端、防护设备等环节。熟悉态势感知、WAF、EDR等安全分析设备的使用,具有流量、日志分析能力。熟悉集团安全架构管理体系建设,信息安全内审及数据安全管理。持续关注国内外最新安全动态。本人有国测CISP-PTE证书。

工作经历

  • 2022-02-14 -2023-02-28嘉兴鼎基渗透测试

    1、负责厂区及实验室各系统的,包括所有对外网系统及设备的漏洞排查,以及网络资产评估。 2、内部系统安全工作,及数控系统设备日常威胁排查,编写测试报告提交记录; 3、办公区内网的安全搭建,设备系统漏洞的威胁排查和应急响应工作,解决相关的安全事件。 4、日常安全设备运行状态监控,对安全报警、安全日志等信息进行监控与分析。 5、对发现的威胁事件或紧急突发情况进行应急处置并上报,包括不限于来源判断、手段分析、程度判定、路径封锁、修复善后等工作。

教育经历 和TA聊聊

APP扫码和程序员直接沟通

  • 该用户选择隐藏教育经历信息,如需查看详细信息,可点击右上角“和TA聊一聊”查看

资质认证

技能

黑盒测试
白盒测试
渗透测试
0
1
2
3
4
5
0
1
2
3
4
5
作品
网站敏感信息泄露

1、phpinfo页面泄露了大量信息 2、存在目录穿越问题,多个配置文件可低权限访问,数据库密码泄露 3、经验证此站因信息泄露,网站可上传webshell,导致后续一系列问题且可被提权。 4、因涉及到敏感信息,为保护企业隐私,并未做更多提交,故而未得到漏洞分级。

1
2023-06-11 22:24
企业网站漏洞

1、管理后台出现弱口令,且可爆破 2、错误提示简单,只提示了密码有错并未提示用户名问题 3、经验证为一处弱口令密码。

1
2023-06-11 22:17
企业网站漏洞挖掘

1、会员个人中心内存在CSRF漏洞,可在本地执行篡改会员个人信息 2、通过bp软件抓包修改包内数据,后构造POC到本地,在cookie有效期内本地执行POC可直接修改会员信息 3、经验证漏洞为cookie的SameSite属性为none,未作任何设置造成的,后将IIS中及web.config文件中的SameSite属性设为lax后,修复了此漏洞。

1
2023-06-11 22:07
更新于: 2023-06-12 浏览: 352