1.熟练使用sqlmap、nmap、burpsuite、msf、kali linux、cs等渗透工具; 2.熟练基本的各类web漏洞利用,sql注入,xss,xxe,上传漏洞等,熟练各类逻辑漏洞,验证码绕过,越权,未授权等; 3.熟悉各类操作系统和中间件的中高危漏洞挖掘和复现,shiro,jboss,weblogic,struts2,log4j2等反序列化漏洞。对最新爆发的漏洞有很强的敏感性; 4.熟练绝大多数主机端口相关漏洞,未授权漏洞,如redis,jekins,memcache,zookeeper,elasticsearch等未授权漏洞; 5.掌握app测试的流程与操作,会反编译找app的一些静态漏洞,同时亦会测试app的逻辑与常见web漏洞; 6.从业期间使用过各类扫描器、waf、ips、edr、态势感知等产品; 7.会python语言,工作时经常使用python requests库编写poc,exp和批量漏扫检测脚本,也会其他库编写简化工作的其他脚本。
中国移动数据安全漏洞检测 1.处理解决客户日常办公遇到的技术问题 2.负责系统的数据安全漏洞检测
电信网络安全保障项目 1.日常的组件检测,处置与溯源 2.负责公司产品的运维与使用 3.参与全国护网、护网值班人员安排、应急处置工作 4.负责局方核心系统的渗透测试与漏洞挖掘 5.负责工信部、网络安全远程检查、年度省内外互联网内网漏洞挖掘、集团检查等工作的系统安全保障
参加国家级护网、省级护网、地市红蓝攻防,并帮助客户取得全国第二,集团第四的成绩