负责电商平台核心业务线（包括交易、会员、营销活动）的Web安全防护体系全生命周期建设，主导漏洞挖掘、防御系统开发及0day应急响应，协同研发团队落地SDL安全开发流程，保障大促期间0级安全事件。

• 主导设计并落地基于OWASP Top 10的动态防御矩阵，针对促销活动页面的高频攻击场景（如秒杀接口暴力破解、支付参数篡改），通过自研的规则引擎+AI行为分析模块，将恶意请求拦截率从82%提升至97%；过程中突破传统WAF特征匹配局限，引入用户会话行为建模，识别出3类新型绕过手法并沉淀到威胁情报库。
• 牵头开发自动化漏洞检测平台（基于Go语言+OpenResty），集成SonarQube SAST、ZAP DAST及自研的SQL注入/XXE检测插件，实现代码提交时实时扫描与线上流量旁路检测双链路覆盖；上线后漏洞发现效率提升2.3倍，研发侧修复周期从72小时压缩至24小时内，季度内拦截未上线高危漏洞17个。
• 主导某次Log4j2 RCE 0day应急响应，2小时内完成全站组件依赖排查，定位到3个业务系统使用的第三方SDK存在风险；同步推动热修复方案（字节码插桩+请求过滤）与长期补丁升级，避免了用户数据泄露风险，事件处置效率获集团安全委员会通报表扬。
• 优化SDL流程中的安全评审环节，设计「威胁建模-自动化检测-人工渗透」三级准入标准，将安全左移覆盖率从58%提升至89%；主导编写《电商业务常见Web漏洞防护指南》，覆盖12类高频场景，推动研发团队安全编码能力考核通过率从65%提升至85%。

聚焦金融核心系统（信贷、支付、账户管理）的Web安全加固，负责漏洞挖掘与修复、防御工具二次开发及跨团队安全培训，保障监管合规（等保2.0、金融行业安全规范）下的业务稳定运行。

• 针对信贷审批系统的越权访问漏洞高发问题，通过逆向分析业务逻辑（涉及OAuth2.0鉴权、Redis缓存键设计），定位到3类权限校验缺失场景；提出「接口级权限指纹+动态令牌校验」方案，修复后同类漏洞发生率下降91%，相关技术方案被纳入公司安全开发规范。
• 主导改造现有WAF集群，针对金融API接口的复杂参数结构（如嵌套JSON、文件上传），优化正则匹配规则与机器学习模型；调整后误报率从35%降至8%，关键接口攻击拦截成功率提升至99.2%，支撑了年度PCI DSS合规审计。
• 开发内部Web漏洞靶场系统（基于Docker+OWASP Juice Shop扩展），模拟15类金融场景漏洞（如SSRF攻击银行内部接口、XSS窃取用户银行卡信息）；累计组织8场研发/测试团队实战演练，团队平均漏洞发现耗时从45分钟缩短至12分钟，安全意识考核优秀率提升40%。
• 参与某银行合作项目的第三方渗透测试，发现目标系统存在存储型XSS与CSRF组合攻击链；通过构造钓鱼链接验证攻击可行性后，协助客户修复漏洞并输出《第三方系统交互安全白皮书》，推动建立供应商安全准入评估机制。

负责公司官网、用户中心及内容发布平台的Web安全日常防护，执行漏洞扫描、修复跟进及安全事件响应，参与基础安全工具的部署与维护。

• 搭建基于Nessus+AWVS的自动化扫描体系，每周对20+业务系统进行全量扫描，结合人工验证输出漏洞报告；3个月内累计发现并推动修复XSS（53个）、SQL注入（21个）、文件上传漏洞（9个），关键系统漏洞清零率从68%提升至92%。
• 参与用户登录模块的安全加固，分析历史撞库攻击日志（日均1.2万次恶意请求），通过引入滑动验证码+设备指纹识别，将暴力破解成功率从19%降至2%；同步优化日志监控规则，实现异常登录行为5分钟内告警。
• 协助搭建公司安全知识库，整理常见Web漏洞原理（如CSRF令牌伪造、CORS配置错误）及修复方案，覆盖Java/PHP/Node.js多语言场景；推动新人培训中加入「漏洞复现实战」环节，团队基础安全能力考核通过率提升30%。
• 处置某次CMS系统未授权访问事件，定位到后台管理目录未设置访问控制；通过临时封禁IP、紧急发布补丁（Nginx反向代理限制）及长期权限最小化改造，避免了用户信息泄露风险，事件响应时效获部门负责人肯定。

云原生应用全生命周期安全防护平台研发项目

• 项目背景：公司推进云原生转型，微服务数量超200个、容器实例峰值达5万+，现有安全方案存在“全链路断层（开发-运行-审计未打通）、动态适配差（无法应对容器秒级生命周期）、追溯困难（多组件日志孤立）”三大痛点；目标是构建覆盖云原生全生命周期、动态自适应、可溯源的安全防护平台，支撑业务快速上云。
• 关键难题与技术：云原生环境动态性导致传统规则引擎无法实时识别容器网络暴露、镜像漏洞等风险；K8s、Istio、Prometheus等多组件数据孤岛，难以整合资产与威胁信息；运行时攻击（如容器逃逸、服务网格流量篡改）缺乏低延迟检测能力。核心技术涉及eBPF运行时tracing、OPA策略引擎动态编排、Kubernetes API深度集成。
• 核心行动与创新：主导设计“云原生资产自动发现引擎”，通过K8s API+Prometheus指标实时同步Pod、Service等资产状态，解决手动盘点误差；研发“全链路安全审计模块”，整合Jenkins构建、Harbor镜像、K8s运行日志，用ELK Stack实现请求级溯源；创新“动态策略适配算法”，基于OPA规则引擎结合实时流量基线，自动调整容器网络访问策略，响应时间从分钟级缩至秒级。
• 项目成果：平台上线后，云原生应用安全检测覆盖率从65%提升至92%，运行时攻击事件下降78%；支撑10+核心业务线完成云原生迁移，年安全运维成本降低200万元；成为公司云原生安全标准方案，对外输出给3家生态合作伙伴。

电商大促场景DDoS/CC攻击防御系统优化项目

• 项目背景：电商大促（如双11）流量峰值达10Tbps，现有DDoS防御依赖固定阈值，易被刷量绕过；CC攻击模拟真实用户行为（如慢速请求），传统WAF拦截率仅85%；目标是提升大促抗D能力，保障核心交易链路稳定。
• 关键难题与技术：超大流量下防御系统性能瓶颈（单节点处理能力不足）；CC攻击“低流量、高并发”特征导致规则匹配失效；多数据中心流量调度不及时，易造成局部拥塞。核心技术涉及Anycast分布式流量牵引、LSTM时间序列异常检测、动态阈值调整算法。
• 核心行动与创新：主导优化防御架构，采用Anycast技术分散流量至3个数据中心，单节点处理能力从2Tbps提至5Tbps；研发“基于LSTM的CC攻击检测模型”，分析请求时间间隔、页面路径等序列特征，实时识别异常行为；设计“动态阈值调整机制”，结合大促历史基线与实时用户行为，每5分钟更新拦截阈值，误判率从12%降至2%。
• 项目成果：大促期间成功拦截T级DDoS攻击12次，CC攻击绕过率从15%降至3%；核心交易链路可用性保持99.99%，支撑1.2亿UV访问，GMV同比增长25%未受安全事件影响；方案成为公司大促安全标准，推广至所有电商业务线。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。