负责电商平台交易、支付、用户数据等核心业务线的全生命周期安全测试，主导漏洞挖掘-修复-验证闭环管理，推动安全左移能力建设与重大活动安全保障。

• 主导电商交易链路（从商品加购到支付完成）的深度渗透测试，综合运用Burp Suite Pro、OWASP ZAP及自定义Python脚本模拟黑产攻击，累计发现越权修改订单金额（CVE-2023-XXXX）、支付接口CSRF（影响用户资金安全）、敏感地址信息明文传输等高危漏洞27个；通过结合业务场景设计动态验证码二次校验、支付令牌绑定设备指纹等防御方案，推动漏洞修复率100%，当年交易链路安全事件同比下降65%。
• 针对电商平台第三方商家入驻接口（日均调用量超500万次），基于OWASP API Security Top 10框架设计专项测试方案，使用Postman Newman自动化执行200+条安全测试用例，发现未授权商家数据访问、JWT令牌暴力破解等风险点12项；主导编写《第三方接口安全测试规范》，将API安全测试嵌入需求评审阶段，后续新接入商家接口漏洞检出率提升至92%。
• 推动DevSecOps落地，主导将SonarQube（配置OWASP Java Encoder规则）、Checkmarx SAST工具集成至GitLab CI/CD流水线，实现代码提交时自动扫描XSS、SQL注入等风险；优化扫描策略后，单次构建安全扫描耗时从45分钟压缩至12分钟，开发阶段拦截率达78%，上线前漏洞总量减少55%。
• 负责双11、618大促安全保障，牵头制定《大促安全测试作战手册》，模拟DDoS攻击（使用LOIC工具验证WAF防护能力）、薅羊毛脚本（构造10万+并发请求测试优惠活动接口限流）、恶意爬虫（检测商品详情页反爬策略）等场景；大促期间核心交易系统未发生因安全漏洞导致的资损或服务中断，获公司年度安全突出贡献奖。

负责在线教育平台用户隐私保护、课程交易及内容分发环节的安全测试，协助建立标准化安全测试流程与漏洞管理机制。

• 执行平台核心API（如用户信息查询、课程支付回调）的安全测试，使用Burp Repeater修改请求头绕过身份校验，发现未授权获取学员通讯录（影响GDPR合规）、支付回调接口幂等性缺失（可能导致重复扣款）等问题；推动开发团队增加IP白名单校验与Redis分布式锁，相关风险在等保2.0三级测评中零扣分。
• 搭建静态代码安全扫描体系，基于SonarQube配置PHP/Java安全规则集（含XSS过滤、硬编码密码检测），并集成Jenkins实现每日定时扫描；上线6个月内扫描代码库30万+行，累计发现弱密码存储、日志敏感信息泄露等低级漏洞156个，代码整体安全评分从6.2提升至7.8。
• 针对K12课程内容分发场景，模拟内容篡改攻击（通过中间人攻击修改视频元数据）与非法内容上传（测试文件上传接口的MIME类型校验），发现图片上传接口未校验Content-Disposition头、视频转码服务存在路径遍历漏洞等风险；推动修复后，内容安全事件从月均3起降至0.5起以内。
• 主导面向开发团队的安全意识培训，基于OWASP Top 10设计12节实战课程（含SQL注入演示、XSS payload构造），累计培训200+人次；后续新功能提测时，因开发阶段遗漏安全校验导致的漏洞数量下降38%。

协助完成公司官网及内部管理系统的基础安全测试，参与漏洞挖掘、修复跟踪与安全文档编写。

• 使用Nessus对官网服务器进行月度漏洞扫描，识别出Apache Log4j2远程代码执行（CVE-2021-44228）等高危漏洞，输出包含修复版本、临时缓解方案的详细报告；推动运维团队48小时内完成补丁升级，季度服务器高危漏洞存活率从15%降至3%。
• 参与内部OA系统测试，重点验证权限管理模块，发现普通员工可通过修改URL参数访问管理员审批页面（水平越权）、离职员工账号未及时回收（垂直越权）等问题；协助编写《权限测试用例模板》，后续同类系统测试效率提升40%。
• 自学渗透测试技术，通过HTB靶场练习掌握Metasploit框架、Hydra暴力破解等工具，考取OSCP（Offensive Security Certified Professional）认证；将靶场实战经验应用于公司测试，发现VPN登录接口存在弱密码爆破风险，推动启用双因素认证。

星途直播平台全链路质量保障体系搭建及性能优化

• 直播业务月活从800万快速增长至1800万，但原有测试依赖人工轮检与单接口验证，峰值期（如跨年、618专场）月均出现5次重大故障（开播失败、互动延迟、画面卡顿），需构建覆盖“用户行为-服务调用-基础设施”的全链路质量防护网，实现故障前置拦截与分钟级恢复。
• 识别直播核心链路（开播推流→观众进入→实时互动→礼物打赏→录播回放）中的高风险节点：一是实时互动链路（消息延迟超500ms会流失用户），二是多端（iOS/Android/Web）画面一致性（曾因编码差异导致10%用户反馈“画面花屏”），三是高并发下服务稳定性（峰值并发达12万时数据库连接池耗尽）；引入混沌工程工具Chaos Mesh模拟服务器宕机、网络丢包、Redis缓存击穿等场景，暴露弱依赖问题。
• 设计“链路标签透传”方案——在HTTP/gRPC请求中嵌入唯一traceId，关联用户行为日志、服务调用链与监控数据，实现故障从用户端到DB层的秒级溯源（如某次互动延迟问题，通过traceId快速定位到消息队列分区不均）；开发基于OpenCV的图像比对工具，自动校验三端直播画面的色彩偏差（ΔE≤2）、帧率一致性（误差≤5fps），替代人工逐帧核对；搭建全链路质量监控平台，整合Prometheus采集CPU/内存/消息堆积指标，Grafana可视化“开播成功率”“互动延迟率”“礼物到账耗时”等12个核心指标，设置阈值告警。
• 项目落地后，直播故障次数下降65%（月均1.7次），故障定位时间从45分钟缩短至10分钟内；用户关于“直播卡顿”“互动失败”“画面不同步”的投诉率下降58%；支撑大促期间12万+并发稳定运行，开播成功率从92%提升至98.5%。主导输出3份全链路测试SOP，培养2名测试同学掌握混沌工程与链路分析能力，推动团队从“被动救火”转向“主动防错”。

星途社交APP自动化测试框架升级与稳定性提升

• 社交APP月迭代3个版本，原有自动化框架基于原生Appium搭建，存在元素定位不稳定（动态列表、异步加载元素识别率仅60%）、脚本维护成本高（每版修改30%以上脚本）、无法并行执行（单轮回归需5天）等问题，导致回归覆盖不全，线上频繁出现“消息发送失败”“朋友圈加载慢”等缺陷，亟需重构框架支撑高频发布。
• 框架核心痛点：一是Appium原生定位策略（如By.XPATH）对动态元素失效，二是脚本与页面元素强耦合（页面变更需改所有关联脚本），三是执行效率低（单设备串行）；技术选型上，采用“Cucumber+BDD”实现自然语言用例，“Appium+UiAutomator2”优化移动端交互，结合Docker搭建设备集群支持并行。
• 重构四层架构：基础层封装Appium原生API（如“智能等待元素”——结合显式等待与元素可见性校验，解决异步加载问题；“动态列表定位”——通过父节点+子元素特征定位，识别率提升至95%）；页面对象层将页面元素与操作封装为独立类（如LoginPage、MessagePage），降低脚本与页面的耦合；场景层组合页面对象实现业务流程（如“用户A给用户B发消息”）；用例层用Cucumber编写自然语言用例（如“Given 用户已登录 Then 发送消息给好友 Should 收到回复”）。；基于Docker搭建Appium Grid集群，支持10台设备并行执行，提升效率。
• 框架升级后，自动化执行成功率从70%提升至95%，脚本维护成本下降40%（页面变更仅需修改对应页面对象类）；单轮回归时间从5天缩短至1天，实现“版本发布前100%核心功能回归”；新功能上线后“消息发送失败”缺陷率下降42%，用户投诉减少35%。输出《社交APP自动化测试框架最佳实践》，推动团队采用BDD模式，测试与产品、开发的协作效率提升50%，成为团队自动化测试的技术标杆。

• 因痛心于年轻人对历史的疏离，我在B站创立「古人脱口秀」栏目，用职场梗解构历史事件（如《雍正皇帝的KPI保卫战》）。通过设计「颠覆认知-史料佐证-现代共鸣」三幕剧本模板，单期视频最高收获1.7万条弹幕互动。
• 两年间栏目播放量突破180万，作品被多地中学选为教学素材。这段经历磨砺出将学术内容转化为大众语言的能力，也让我理解到真实用户反馈才是创作者的指南针。