负责公司核心社交APP「小楷圈」及两款垂类工具APP的全生命周期安全开发，涵盖OWASP Mobile Top 10威胁建模、安全功能落地、漏洞闭环管理及黑灰产对抗，联动产品、测试团队保障APP安全合规与业务稳定性

• 主导「小楷圈」3.0版本安全架构升级，基于OWASP Mobile Top 10风险模型识别出「未加密本地数据存储」「第三方SDK权限越界」「IM协议明文传输」三大高风险项；采用Android Keystore结合BiometricPrompt实现用户聊天记录、支付凭证等敏感数据的硬件级加密，用MobSF（Mobile Security Framework）做静态扫描+Burp Suite抓包验证动态传输安全；解决了旧版本因本地数据明文存储导致的12起用户数据泄露投诉，上线后数据泄露率从1.8%降至0.2%，通过等保2.0移动应用专项测评
• 针对黑灰产通过「重打包APP植入广告插件」的攻击，开发基于VMP（虚拟机器保护）+双因子签名校验的反重打包机制——用Frida Hook检测APK签名哈希变化，结合ProGuard混淆规则对核心逻辑（如广告加载接口）做深度脱敏；上线3个月内拦截47起重打包攻击，黑灰产导致的无效流量占比从7%降至1.1%，每月节省推广成本约25万元
• 搭建APP安全漏洞自动化检测平台，整合MobSF、AndroBugs、DexGuard的API，嵌入公司CI/CD流程实现「代码提交-静态扫描-报告推送-修复跟踪」闭环；引入自定义规则引擎，针对「小楷圈」IM消息的SM4加密协议添加15条针对性检测规则（如密钥硬编码、IV未随机化）；将漏洞发现周期从每周2天缩短至4小时，季度漏洞修复率从65%提升至92%
• 牵头处理「竞品界面劫持窃取登录凭证」重大安全事件：通过逆向工程分析竞品APP，定位其使用Xposed框架篡改「小楷圈」登录界面onCreate方法的Hook逻辑；快速迭代「界面防劫持」功能——增加窗口焦点监听+二次验证弹窗，并向法院提交包含Hook点定位、代码相似度分析的侵权证据链；最终竞品下架相关功能，避免约50万用户流失

负责公司电商平台「小楷购」的Web端安全开发，聚焦SQL注入、XSS、CSRF等OWASP Top 10漏洞防护，以及WAF规则优化，保障电商交易安全与用户数据合规

• 主导「小楷购」支付系统安全重构，针对旧版本「支付回调参数未签名验证」的漏洞，采用RSA非对称加密+时间戳防重放机制，对支付成功回调的orderId、amount等参数进行签名校验；用OWASP ZAP模拟伪造支付攻击，拦截19起试图篡改支付结果的请求，支付成功率从98.7%提升至99.9%，季度客诉量减少42%
• 优化公司WAF（ModSecurity）规则库，基于电商业务场景定制「秒杀接口防刷」「用户评论内容过滤」「购物车恶意修改」等23条自定义规则；用Lua脚本实现动态规则加载，将秒杀接口QPS限制从5000提升至10000，同时拦截95%的机器刷单请求，大促期间系统可用性保持99.95%
• 开发Web安全漏洞预警系统，用Python编写爬虫实时抓取CVE、CNVD最新漏洞信息，结合公司内部漏洞库做关联分析，通过钉钉机器人+邮件推送至开发团队；实现「漏洞发现-通知-修复-验证」闭环，季度漏洞修复及时率从70%提升至90%，避免3起因未及时修复Log4j2漏洞导致的数据泄露事件

协助团队完成内部OA系统安全加固及客户项目的Web安全测试，学习并应用常见安全技术，积累漏洞挖掘与修复经验

• 参与公司OA系统安全加固项目，负责「文件上传功能」漏洞修复：识别旧版本允许上传.exe、.jsp文件的风险，采用MIME类型校验+文件头指纹检测（如PNG的89504E47、PDF的25504446）的组合策略，禁止上传可执行文件；修复后通过等保2.0三级测评，获得客户书面表扬
• 协助完成3个客户电商项目的Web安全测试，用Burp Suite拦截到「用户注册接口存在SQL注入」漏洞——构造UNION SELECT payload获取测试账号的数据库权限；编写包含漏洞复现步骤、修复建议（预编译语句）的测试报告，帮助客户解决问题，提升公司在安全测试领域的客户满意度

电商平台全链路交易风险防控系统重构与智能化升级

• 星途作为头部社交电商平台，2021年起交易欺诈率同比上升37%，原有系统基于分散规则引擎，存在跨渠道团伙作案识别盲区、误报率18%、大促期间响应延迟超500ms等痛点。我主导系统从需求分析到落地的全生命周期，负责架构设计、核心模块开发及跨数据/算法/业务团队的协调。
• 面临三大挑战：一是多源异构数据整合（需关联交易、用户行为、设备指纹、第三方征信等8类实时数据，格式差异大）；二是高并发下低延迟检测（支撑大促10万TPS峰值）；三是AI模型需平衡准确率与业务适配性（避免过度拦截影响用户体验）。技术上选择Apache Flink构建实时数据中台，解决数据流关联问题；采用“规则+机器学习+图计算”三层架构应对复杂风险。
• 主导定义标准化事件模型整合8类数据，优化Drools规则引擎支持动态加载（规则更新停机时间从4小时缩短至10分钟）；针对刷单、盗号、薅羊毛场景训练5个XGBoost专项模型，结合Neo4j图计算构建用户-设备-订单关系图谱识别团伙风险；通过Redis缓存高频风险画像、Kafka削峰填谷，优化系统性能。
• 系统上线后，风险检测准确率从72%提升至91%，误报率降至5%，实时延迟降至80ms，支撑大促10万TPS峰值；年减少欺诈损失约1200万元，业务投诉率下降65%；获公司“年度技术创新奖”，已推广至金融业务线覆盖支付、信贷场景，成为集团级风险防控底座。

金融支付系统漏洞自动化检测平台研发

• 云盾为中小金融机构提供支付系统解决方案，原人工检测效率低（单系统需3天）、遗漏新型漏洞（如API越权）。我的目标是研发自动化平台，覆盖OWASP Top10漏洞，提升检测效率与覆盖率，支撑客户合规需求。
• 挑战包括：动态检测场景真实性不足（难模拟真实用户操作绕过防护）、多支付渠道接口兼容性差（微信/支付宝/银联差异大）、检测报告缺乏修复指导性。技术上需整合漏洞扫描工具与自定义脚本，解决真实性与兼容性问题。
• 集成Burp Suite API与Python自定义脚本，构建120+漏洞测试用例库（覆盖SQL注入、XSS、API越权等场景）；用Selenium模拟用户真实点击、输入行为，提升检测准确性；设计多维度报告，包含漏洞等级、CVSS评分、修复代码示例，并对接Jira实现缺陷自动流转。
• 平台检测效率提升4倍（单系统检测仅需8小时），漏洞覆盖率从75%升至95%；服务20+金融机构，年减少漏洞修复成本300万元；成为公司支付安全解决方案核心组件，支撑新客户接入效率提升50%，客户满意度从82%升至94%。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。