负责电商平台核心交易链路及大促活动的安全测试全周期管理，覆盖漏洞挖掘、防御体系验证、安全左移落地，主导搭建业务级安全测试标准与应急响应机制，保障亿级用户交易场景的安全性与稳定性。

• 主导设计2024年双11大促秒杀系统的安全测试方案，针对高并发、强交互特性，采用Burp Suite定制化插件拦截异常请求、OWASP ZAP模拟DDoS攻击，结合业务日志分析识别出3类关键风险：支付回调接口越权（影响订单金额篡改）、库存扣减逻辑漏洞（触发超卖）、验证码绕过（导致机器刷单）。通过构造恶意参数注入、多线程压测复现问题，推动开发重构权限校验中间件、引入分布式锁机制，将大促期间资损风险降低92%，最终实现0起因安全漏洞导致的客诉。
• 推动安全测试左移落地，主导在GitLab CI/CD流水线集成SonarQube SAST扫描与OWASP ZAP DAST自动化测试，自定义电商业务规则库（如敏感信息正则匹配、支付参数长度限制），使代码提交阶段高危漏洞拦截率从35%提升至81%；同步开发测试报告可视化看板，实时展示各业务线安全风险等级，推动开发团队修复时效缩短40%，上线前遗留高危漏洞数量同比下降67%。
• 牵头建立大促安全应急响应SLA，模拟黑产攻击场景（如SQL注入获取用户手机号、XSS窃取Cookie）设计攻防演练，复现3起潜在攻击路径。针对其中Redis未授权访问漏洞，定位根因是云服务器安全组配置疏漏，协调运维团队4小时内完成全局端口白名单收紧，并优化WAF规则库新增20条针对电商业务的攻击特征拦截策略，后续3个月内同类攻击成功拦截率提升至99.5%。
• 负责隐私计算场景安全验证，配合数据团队落地联邦学习用户画像模型，测试模型训练数据传输加密（TLS 1.3）、计算节点访问控制（RBAC细粒度策略）、结果集脱敏（哈希加盐）等关键环节，发现2处密钥硬编码问题与1处脱敏规则遗漏，推动采用AWS KMS管理密钥并完善脱敏算法，助力业务通过国家金融科技安全认证。

聚焦用户隐私合规与交易链路安全测试，构建覆盖用户生命周期（注册-下单-支付-售后）的安全测试体系，支撑平台通过等保三级、ISO 27001认证，保障千万级用户数据安全与业务合规。

• 设计隐私合规测试框架，依据《个人信息保护法》与GDPR要求，拆解用户数据收集（最小必要原则）、存储（加密等级）、传输（通道安全）、共享（第三方授权）4大环节测试点。通过Postman脚本自动化遍历120+接口，发现3类问题：用户地址信息明文存储于日志文件、第三方物流接口未签署数据共享协议、注销账号后支付信息未彻底清除。推动技术团队完成日志脱敏改造（掩码处理关键字段）、签署补充协议并上线数据彻底删除接口，最终以0不符合项通过年度隐私合规审计。
• 优化接口安全测试效率，针对核心交易接口（如创建订单、支付回调）开发Python自动化测试脚本，集成JWT鉴权有效性验证（过期时间、签名算法）、速率限制（QPS阈值）、参数篡改（修改支付金额、用户ID）等测试用例，覆盖92%的高频交易接口。上线后接口安全漏洞发现效率提升5倍，上线前接口类高危漏洞残留量从月均15个降至3个以内。
• 参与红蓝对抗演练，扮演攻击方模拟XSS、CSRF、SSRF等攻击：通过构造包含恶意JS的评论内容触发存储型XSS（影响用户cookie窃取），发现前端输入过滤仅校验特殊字符未转义HTML实体；模拟CSRF攻击时，利用未绑定的Referer头绕过防御，暴露出部分接口未校验Origin字段。推动前端增加CSP策略（限制脚本来源）、后端强制校验Referer与Origin，XSS与CSRF攻击成功率从45%降至5%以下。

协助完成业务系统基础安全测试与漏洞管理，参与渗透测试、安全用例维护及团队安全意识培训，保障内部管理系统与外部合作接口的基础安全性。

• 执行核心系统（OA、CRM）渗透测试，使用Nmap扫描内网资产暴露面，发现3台未打补丁的Redis服务器开放公网端口且未设置认证；通过Metasploit调用redis模块写入Webshell，验证服务器被控制风险。提交详细漏洞报告并附修复方案（关闭公网暴露、启用密码认证、限制IP白名单），推动运维团队48小时内完成整改，漏洞修复率100%，当年内网横向渗透事件归零。
• 搭建安全测试用例库，基于OWASP Top 10与业务场景梳理200+测试用例，覆盖SQL注入、XSS、越权访问等常见漏洞类型。例如针对用户信息查询接口，设计“修改URL参数userId尝试访问他人数据”“输入单引号触发数据库报错”等用例，使团队测试覆盖率从65%提升至90%，同类漏洞复发率下降40%。
• 组织面向开发团队的安全培训，每月选取1-2个典型漏洞案例（如因未校验文件上传类型导致的RCE攻击），讲解漏洞原理、修复方案与编码规范。累计培训12场，覆盖80+开发人员，后续新上线功能中因低级安全编码问题导致的漏洞数量同比减少55%。

星途直播平台全链路质量保障体系搭建及性能优化

• 直播业务月活从800万快速增长至1800万，但原有测试依赖人工轮检与单接口验证，峰值期（如跨年、618专场）月均出现5次重大故障（开播失败、互动延迟、画面卡顿），需构建覆盖“用户行为-服务调用-基础设施”的全链路质量防护网，实现故障前置拦截与分钟级恢复。
• 识别直播核心链路（开播推流→观众进入→实时互动→礼物打赏→录播回放）中的高风险节点：一是实时互动链路（消息延迟超500ms会流失用户），二是多端（iOS/Android/Web）画面一致性（曾因编码差异导致10%用户反馈“画面花屏”），三是高并发下服务稳定性（峰值并发达12万时数据库连接池耗尽）；引入混沌工程工具Chaos Mesh模拟服务器宕机、网络丢包、Redis缓存击穿等场景，暴露弱依赖问题。
• 设计“链路标签透传”方案——在HTTP/gRPC请求中嵌入唯一traceId，关联用户行为日志、服务调用链与监控数据，实现故障从用户端到DB层的秒级溯源（如某次互动延迟问题，通过traceId快速定位到消息队列分区不均）；开发基于OpenCV的图像比对工具，自动校验三端直播画面的色彩偏差（ΔE≤2）、帧率一致性（误差≤5fps），替代人工逐帧核对；搭建全链路质量监控平台，整合Prometheus采集CPU/内存/消息堆积指标，Grafana可视化“开播成功率”“互动延迟率”“礼物到账耗时”等12个核心指标，设置阈值告警。
• 项目落地后，直播故障次数下降65%（月均1.7次），故障定位时间从45分钟缩短至10分钟内；用户关于“直播卡顿”“互动失败”“画面不同步”的投诉率下降58%；支撑大促期间12万+并发稳定运行，开播成功率从92%提升至98.5%。主导输出3份全链路测试SOP，培养2名测试同学掌握混沌工程与链路分析能力，推动团队从“被动救火”转向“主动防错”。

星途社交APP自动化测试框架升级与稳定性提升

• 社交APP月迭代3个版本，原有自动化框架基于原生Appium搭建，存在元素定位不稳定（动态列表、异步加载元素识别率仅60%）、脚本维护成本高（每版修改30%以上脚本）、无法并行执行（单轮回归需5天）等问题，导致回归覆盖不全，线上频繁出现“消息发送失败”“朋友圈加载慢”等缺陷，亟需重构框架支撑高频发布。
• 框架核心痛点：一是Appium原生定位策略（如By.XPATH）对动态元素失效，二是脚本与页面元素强耦合（页面变更需改所有关联脚本），三是执行效率低（单设备串行）；技术选型上，采用“Cucumber+BDD”实现自然语言用例，“Appium+UiAutomator2”优化移动端交互，结合Docker搭建设备集群支持并行。
• 重构四层架构：基础层封装Appium原生API（如“智能等待元素”——结合显式等待与元素可见性校验，解决异步加载问题；“动态列表定位”——通过父节点+子元素特征定位，识别率提升至95%）；页面对象层将页面元素与操作封装为独立类（如LoginPage、MessagePage），降低脚本与页面的耦合；场景层组合页面对象实现业务流程（如“用户A给用户B发消息”）；用例层用Cucumber编写自然语言用例（如“Given 用户已登录 Then 发送消息给好友 Should 收到回复”）。；基于Docker搭建Appium Grid集群，支持10台设备并行执行，提升效率。
• 框架升级后，自动化执行成功率从70%提升至95%，脚本维护成本下降40%（页面变更仅需修改对应页面对象类）；单轮回归时间从5天缩短至1天，实现“版本发布前100%核心功能回归”；新功能上线后“消息发送失败”缺陷率下降42%，用户投诉减少35%。输出《社交APP自动化测试框架最佳实践》，推动团队采用BDD模式，测试与产品、开发的协作效率提升50%，成为团队自动化测试的技术标杆。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。