阿飞 身份已认证
渗透/python爬虫/攻防对抗/安全运维
- 公司信息:
- 观安信息科技有限公司
- 工作经验:
- 3年
- 兼职日薪:
- 1000元/8小时
- 兼职时间:
- 周六
- 周日
- 可工作日远程
- 所在区域:
- 上海
- 徐汇
技术能力
1.熟悉渗透测试方法和流程,熟悉XSS、SQLi、SSRF、CSRF、逻辑漏洞、任意文件下载、远程命令/代码执行漏洞、文件上传漏洞原理以及漏洞挖掘,能够独立进行Web渗透测试并撰写渗透测试报告;
2.熟悉掌握渗透测试平台和工具(kali、Burpsuite、SQLmap、MSF、Cobalt strike、appscan、AWVS、Nessus等);
3.熟悉python和shell脚本编写。能够根据漏洞利用过程基于python编写批量验证POC和EXP;
4.独立完成红队项目。WEB打点(发现脆弱性靶标)、漏洞利用Getshell、权限提升、内网渗透;
5.蓝队技能:熟悉各个厂家安全设备使用,攻防分析研判攻击、应急响应处置、溯源红队编写溯源报告。
6.基本的漏洞挖掘。在CNVD、教育行业SRC、360BugCloud、360漏洞云漏洞众包响应平台、补天平台、漏洞盒子、漏洞银行和Allsec提交过漏洞,获得CNVD证书的漏洞编号:CNVD-2022-15920、CNVD-2022-13893、CNVD-2022-14777、CNVD-2021-57769、CNVD-2022-42430、CNVD-2022-55540,其余没有证书的漏洞编号未列出。
7.对各类前沿漏洞进行复现,并形成自动化利用脚本;
8.熟悉PHP代码审计,动态调试复现漏洞以及挖掘漏洞;
9.熟悉python爬虫,JS逆向,可根据需求爬取指定数据。
项目经验
项目名称: 某站点店铺数据爬取
项目时间: 2022.08-2022.08 项目职位:python爬虫工程师
项目职责: 通过编写python爬虫按照客户需求爬取指定店铺数据,大约两万条数据,爬取后将指定数据发给客户。
项目名称: 2022年国家级护网项目
项目时间: 2022.07-2022.07 项目职位:防守方
项目职责: 模拟红队、分析研判,攻击事件溯源,溯源反制
(1)护网前期对客户(国企)给出的各地资产进行渗透测试,以ReadTeamer视角进行WEB打点,发现脆弱性。有 幸及时堵住几个子公司的Shiro反序列化漏洞;
(2)护网中期通过NG-SOC态势感知平台进行攻击事件的分析研判:
事件一:北部子公司客户OA系统弱口令导致被钓鱼事件协助溯源;
事件二:反制一下ReadTeamer的NPS。
项目名称: 2022年宝山行政服务中心渗透测试项目
项目时间: 2022.07-2022.07 项目职位:渗透测试工程师
项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:文件上传(getshell)、反射型XSS、逻辑漏洞(未授权访问、敏感信息泄露...)。
项目名称: 2022年汇正财经渗透测试项目
项目时间: 2022.06-2022.06 项目职位:渗透测试工程师
项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:反射型XSS、逻辑漏洞(未授权访问、未授权下载、敏感信息泄露...)。
项目名称: 2022年浦东机场渗透测试项目
项目时间: 2022.04-2022.04 项目职位:渗透测试工程师
项目职责: 负责对客户授权网站网站进行渗透测试,发现漏洞并撰写渗透测试报告。漏洞类型:弱口令、逻辑漏洞(未授权、敏感信息泄露、水平越权...)。
项目名称: 2022年上半年杨浦区项目
项目时间: 2022.03-2022. 03 项目职位:攻击方
项目成果: 对多个目标公司进行WEB打点。发现某公司Confluence存在脆弱性,通过1day拿下靶标,搜集到大量敏感信息,进一步获取堡垒机和VPN权限,Cobalt strike内网横向移动拿下内网大量Linux和Windows靶标(主要是弱口令及内网信息搜集)和云上所有资产。最终排名第四。
项目名称: 2021年移动专项渗透测试项目
项目时间: 2021.05-2021.11 项目职位:渗透测试工程师
项目职责: 负责对客户上线的网站进行渗透测试,发现漏洞并撰写渗透测试报告;负责对客户上线APP功能点进行渗透测试,发现漏洞并撰写渗透测试报告。
项目名称: 第二工业大学安全服务项目
项目时间: 2020.09-2021.04 项目职位:安全服务工程师
项目职责: 维护学校安全设备(天融信防火墙、深信服SIP态势感知平台、深信服EDR、绿盟RSAS远程安全评估系统、绿盟LAS日志审计系统),分析研判态势感知平台上的威胁告警,处置各类攻击。
案例展示
-
搜索引擎爱站和站长之家的子域名爬取工具
一款基于国内两大SEO搜索引擎爱站和站长之家的子域名爬取工具。当然也可根据客户需求爬取指定数据。只要客户有需求,尽量满足。
-
渗透测试漏洞挖掘漏洞修复CTF比赛
可对客户网站进行渗透测试,发现安全问题,降低被黑客攻击的风险; 代码审计,可对客户提供的源代码进行白盒审计,提前发现存在的安全问题; CFT|红蓝对抗,可进行CTF比赛,红蓝攻防对抗。
相似人才推荐
-
700元/天高级运维杭州字节方舟科技有限公司概要:1. 精通搭建和运用zabbix,nagios,cacti,open-falcon,promethe
-
700元/天系统运维工程师春秋航空股份科技有限公司概要:服务器:linux windows 编写语言:shell python+django 容器技术
-
500元/天运维工程师广东海格怡创科技有限公司概要:1.熟悉红帽RHSCA和RHCE技术; 2.熟悉搭建大数据架构和自动化监控平台等等; 3.熟悉编
-
500元/天运维开发思派德大数据概要:• 精通韩语/朝鲜语读写能力 • 熟练掌握Python,shell,易语言 • 熟练掌握Hype
-
1000元/天网络、运维、安全Admin概要:IT运维,大型网络解决方案,网络安全 IT运维,大型网络解决方案,网络安全 IT运维,大型网络解
-
500元/天大数据运维工程师广东亿迅科技有限公司概要:熟练掌握Hadoop、Spark、Kafka等大数据处理框架的配置、部署和调优。 精通Linux系
-
500元/天系统运维工程师广东正业科技有限公司概要:1. 熟练 Linux 系统下大规模网站系统的集群、负载均衡、代理与反向代理的构 建,以及大批量服
-
500元/天高级运维工程师中国移动概要:系统运维,服务器维护调优,定时清理文件,部署软件,tomcat,mysql升级部署,shell脚本,
