负责电商APP全生命周期安全体系建设，涵盖客户端安全加固、支付链路深度防护、合规漏洞闭环管理及自动化安全工具研发，工作边界覆盖Android/iOS双端代码保护、业务逻辑安全审计及第三方SDK风险管控

• 针对电商平台高频的仿冒APK攻击，主导设计基于动态代码加载+指令混淆的双层加固方案：使用AndroBugs扫描定位12类原生反编译风险点，结合Frida Hook框架开发运行时内存保护模块，拦截90%以上的动态调试尝试；同步优化iOS端Bitcode混淆策略，引入字符串加密与控制流平坦化，最终将APK反编译成功率从38%压降至5%以内，支撑大促期间0起仿冒APP导致用户信息泄露事件。
• 聚焦支付链路核心场景，构建‘检测-防御-溯源’三位一体防护体系：通过逆向分析支付SDK发现签名校验绕过漏洞，采用SM4国密算法对订单参数进行端到端加密，同时在网关层部署基于规则引擎的异常请求拦截模块（拦截重放攻击、参数篡改等风险）；上线后监测到支付环节恶意请求量下降87%，关键交易投诉率从0.12%降至0.03%。
• 牵头落地APP合规安全自动化平台：梳理GDPR、等保2.0及《移动互联网应用程序个人信息保护管理规定》要求，基于Python+Appium开发移动应用隐私合规扫描工具，集成权限调用链追踪、敏感数据传输检测等18项检测规则；工具上线后单次全量检测耗时从8小时缩短至1.5小时，支撑3次监管机构抽查均高分通过，获公司年度安全创新奖。
• 应急响应0day漏洞3起：其中某次发现第三方分享SDK存在WebView远程代码执行漏洞（CVE-2023-XXXX），通过Hook WebView.addJavascriptInterface方法定位风险调用栈，协调SDK厂商48小时内发布热修复版本，同步在APP端增加JS接口白名单校验，避免了可能的大规模用户设备劫持风险。

参与移动应用基础安全防护，负责Android端敏感数据保护、第三方SDK风险排查及安全工具链维护，工作边界覆盖代码混淆实施、日志脱敏改造及渗透测试问题修复

• 主导Android端核心模块代码混淆优化：针对前期渗透测试暴露的类名/方法名可读性问题，基于ProGuard规则扩展自定义混淆策略，新增控制流混淆与字符串加密配置，结合DexGuard工具实现关键业务逻辑（如用户登录态校验）的深度保护，后续外部白盒测试中核心代码还原难度提升至‘高复杂度’等级。
• 推动第三方SDK安全治理：梳理SDK清单发现6款含风险库（如过度申请位置权限、内置广告SDK存在隐私泄露隐患），通过编写自动化检测脚本（基于AndroBugs插件扩展）批量扫描SDK权限声明与网络请求行为，推动产品团队替换5款高风险SDK，剩余1款完成定制化裁剪，整体SDK风险评分从7.2（满分10）降至3.5。
• 参与等保2.0三级测评整改：梳理APP安全差距项12项，重点修复‘未对敏感操作进行日志审计’‘用户密码明文存储’等问题；开发轻量级日志脱敏工具（基于正则表达式匹配身份证/手机号字段），实现日志输出自动脱敏，同时设计本地密码加密方案（采用PBKDF2算法+随机盐值），整改项一次性通过专家评审。

协助开展APP安全测试与基础防护功能实现，聚焦Android应用层漏洞挖掘、安全工具辅助开发及安全文档整理

• 参与内部APP安全测试：使用Burp Suite拦截登录/注册接口，发现2例HTTP明文传输漏洞，推动开发团队强制启用HTTPS并配置证书绑定；同步编写《移动应用接口安全测试指南》，总结常见传输层风险与验证方法，被纳入新人培训材料。
• 开发Android组件安全检测脚本：针对未授权Activity/Service暴露问题，基于ADB命令与正则表达式解析AndroidManifest.xml文件，编写Python脚本自动扫描组件导出状态，累计检测15款内部APP，发现并推动修复10处高危组件暴露风险点。
• 学习并输出漏洞复现报告：参与研究‘Android WebView文件读取漏洞’，通过搭建测试环境复现漏洞（CVE-2019-XXXX），编写包含漏洞原理、利用条件及修复方案的详细报告，被公司安全知识库收录，获带教导师‘漏洞挖掘潜力突出’评价。

星途游戏社交平台全链路安全加固与威胁狩猎体系搭建

• 星途游戏社交平台承载800万月活用户，面临黑产批量注册、恶意刷量（日均10万+无效请求）、用户隐私泄露及账号盗用（月均5000+起）等核心安全问题，需构建“入口-业务-数据”全链路防护能力，并实现主动威胁发现。我的职责是主导安全开发与威胁狩猎体系设计，联动研发、运营团队落地端到端防护策略。
• 项目难点有三：一是游戏场景高并发（峰值QPS 5万+）下，传统WAF规则引擎误报率高达20%，无法实时拦截新型AI生成的恶意payload；二是黑产利用动态IP池与模拟正常用户行为的手段，现有防御体系迭代滞后；三是缺乏主动威胁狩猎能力，依赖被动响应导致风险处置延迟。
• 我的核心行动包括：1）重构WAF规则引擎，引入基于Docker的轻量级动态沙箱，对未知请求进行行为模拟检测，将误报率降至5%以内；2）基于用户登录、互动、交易行为日志，用LSTM模型训练异常行为检测模块，识别“短时间跨地域登录”“高频小额转账”等12类黑产特征；3）搭建威胁狩猎平台，整合ELK Stack与VirusTotal、AlienVault威胁情报源，实现“日志采集-特征关联-告警处置”闭环，支持安全团队主动挖掘潜在攻击。
• 项目成果显著：全链路防护使恶意请求拦截率从75%提升至98%，日均无效请求降至1万以内；账号盗用率下降60%（月均降至2000起以下）；威胁狩猎累计发现32起黑产攻击事件（含2起未公开APT试探），避免约500万用户隐私数据泄露。支撑平台月活增长至1200万，助力获评“2023年度游戏行业安全最佳实践案例”，我的威胁狩猎方案被纳入公司安全标准库。

云迹企业服务SaaS平台零信任架构落地与权限治理系统研发

• 云迹企业服务SaaS平台服务50+家企业客户，面临多租户越权访问（季度内12起客户数据泄露）、内部员工滥用权限（月均8起违规操作）及第三方合作伙伴接入风险等问题。我的职责是基于零信任理念设计权限治理系统，实现“持续验证、最小权限”的访问控制，支撑平台合规与客户信任。
• 项目难点在于：一是传统RBAC模型无法适配微服务场景下的动态权限需求（如员工出差时需临时访问生产环境）；二是多租户场景下，权限策略需隔离且支持自定义，现有系统扩展性不足；三是缺乏统一权限审计，无法追溯违规操作链路。
• 我的关键创新与行动：1）基于OAuth2.1与OpenID Connect重构认证体系，结合OPA（Open Policy Agent）实现ABAC（属性基访问控制）模型，将权限与用户身份、设备状态（杀毒软件安装情况）、网络环境（企业VPN）绑定，支持动态调整权限；2）设计多租户权限中心，允许客户自定义角色与策略（如限制财务部门仅访问本部门数据），满足PCI-DSS合规要求；3）整合Istio服务网格，实现服务间调用的一致性认证授权，杜绝服务逃逸风险。
• 项目成果：越权访问事件下降85%（季度内降至1-2起），权限审批效率提升70%（从人工24小时到自动实时授权）；支撑平台获得ISO 27001认证，新增100+家企业客户（含3家金融机构），某头部金融客户审计通过率从60%提升至95%。权限治理系统被复用至公司CRM、HRM等SaaS产品，降低30%安全开发成本，我主导的ABAC模型成为公司微服务权限标准。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。