ID:287365

阿飞 身份已认证

渗透/python爬虫/攻防对抗/安全运维

  • 公司信息:
  • 观安信息科技有限公司
  • 工作经验:
  • 3年
  • 兼职日薪:
  • 1000元/8小时
  • 兼职时间:
  • 周六
  • 周日
  • 可工作日远程
  • 所在区域:
  • 上海
  • 徐汇

技术能力

1.熟悉渗透测试方法和流程,熟悉XSS、SQLi、SSRF、CSRF、逻辑漏洞、任意文件下载、远程命令/代码执行漏洞、文件上传漏洞原理以及漏洞挖掘,能够独立进行Web渗透测试并撰写渗透测试报告;
2.熟悉掌握渗透测试平台和工具(kali、Burpsuite、SQLmap、MSF、Cobalt strike、appscan、AWVS、Nessus等);
3.熟悉python和shell脚本编写。能够根据漏洞利用过程基于python编写批量验证POC和EXP;
4.独立完成红队项目。WEB打点(发现脆弱性靶标)、漏洞利用Getshell、权限提升、内网渗透;
5.蓝队技能:熟悉各个厂家安全设备使用,攻防分析研判攻击、应急响应处置、溯源红队编写溯源报告。
6.基本的漏洞挖掘。在CNVD、教育行业SRC、360BugCloud、360漏洞云漏洞众包响应平台、补天平台、漏洞盒子、漏洞银行和Allsec提交过漏洞,获得CNVD证书的漏洞编号:CNVD-2022-15920、CNVD-2022-13893、CNVD-2022-14777、CNVD-2021-57769、CNVD-2022-42430、CNVD-2022-55540,其余没有证书的漏洞编号未列出。
7.对各类前沿漏洞进行复现,并形成自动化利用脚本;
8.熟悉PHP代码审计,动态调试复现漏洞以及挖掘漏洞;
9.熟悉python爬虫,JS逆向,可根据需求爬取指定数据。

项目经验

项目名称: 某站点店铺数据爬取
项目时间: 2022.08-2022.08 项目职位:python爬虫工程师

项目职责: 通过编写python爬虫按照客户需求爬取指定店铺数据,大约两万条数据,爬取后将指定数据发给客户。

项目名称: 2022年国家级护网项目
项目时间: 2022.07-2022.07 项目职位:防守方

项目职责: 模拟红队、分析研判,攻击事件溯源,溯源反制
(1)护网前期对客户(国企)给出的各地资产进行渗透测试,以ReadTeamer视角进行WEB打点,发现脆弱性。有 幸及时堵住几个子公司的Shiro反序列化漏洞;
(2)护网中期通过NG-SOC态势感知平台进行攻击事件的分析研判:
事件一:北部子公司客户OA系统弱口令导致被钓鱼事件协助溯源;
事件二:反制一下ReadTeamer的NPS。

项目名称: 2022年宝山行政服务中心渗透测试项目

项目时间: 2022.07-2022.07 项目职位:渗透测试工程师

项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:文件上传(getshell)、反射型XSS、逻辑漏洞(未授权访问、敏感信息泄露...)。

项目名称: 2022年汇正财经渗透测试项目


项目时间: 2022.06-2022.06 项目职位:渗透测试工程师

项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:反射型XSS、逻辑漏洞(未授权访问、未授权下载、敏感信息泄露...)。


项目名称: 2022年浦东机场渗透测试项目

项目时间: 2022.04-2022.04 项目职位:渗透测试工程师

项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:弱口令、逻辑漏洞(未授权、敏感信息泄露、水平越权...)。


项目名称: 2022年上半年杨浦区项目

项目时间: 2022.03-2022. 03 项目职位:攻击方

项目成果: 对多个目标公司进行WEB打点。发现某公司Confluence存在脆弱性,通过1day拿下靶标,搜集到大量敏感信息,进一步获取堡垒机和VPN权限,Cobalt strike内网横向移动拿下内网大量Linux和Windows靶标(主要是弱口令及内网信息搜集)和云上所有资产。最终排名第四。


项目名称: 2021年移动专项渗透测试项目

项目时间: 2021.05-2021.11 项目职位:渗透测试工程师

项目职责: 负责对客户上线的网站进行渗透测试,发现漏洞并撰写渗透测试报告;负责对客户上线APP功能点进行渗透测试,发现漏洞并撰写渗透测试报告。


项目名称: 第二工业大学安全服务项目

项目时间: 2020.09-2021.04 项目职位:安全服务工程师


项目职责: 维护学校安全设备(天融信防火墙、深信服SIP态势感知平台、深信服EDR、绿盟RSAS远程安全评估系统、绿盟LAS日志审计系统),分析研判态势感知平台上的威胁告警,处置各类攻击。

案例展示

  • 搜索引擎爱站和站长之家的子域名爬取工具

    搜索引擎爱站和站长之家的子域名爬取工具

    一款基于国内两大SEO搜索引擎爱站和站长之家的子域名爬取工具。当然也可根据客户需求爬取指定数据。只要客户有需求,尽量满足。

  • 渗透测试漏洞挖掘漏洞修复CTF比赛

    渗透测试漏洞挖掘漏洞修复CTF比赛

    可对客户网站进行渗透测试,发现安全问题,降低被黑客攻击的风险; 代码审计,可对客户提供的源代码进行白盒审计,提前发现存在的安全问题; CFT|红蓝对抗,可进行CTF比赛,红蓝攻防对抗。

查看案例列表(含更多 0 个案例)

信用行为

  • 接单
    0
  • 评价
    0
  • 收藏
    2
微信扫码,建群沟通

发布任务

企业点击发布任务,工程师会在任务下报名,招聘专员也会在1小时内与您联系,1小时内精准确定人才

微信接收人才推送

关注猿急送微信平台,接收实时人才推送

接收人才推送
联系需求方端客服
联系需求方端客服