负责公司金融科技核心业务线(涵盖用户理财、信贷及支付系统)的全链路Web安全防护体系搭建、高危漏洞闭环管理,及安全工具的迭代优化,工作边界覆盖用户端、后台管理系统、第三方合作接口的安全合规与风险防控。
- 主导金融交易核心系统的Web安全深度加固:面对资金流转场景下「零漏洞容忍」的要求,结合OWASP Top 10风险模型,先用Burp Suite手动遍历订单提交、资金划转等关键流程,发现3类隐藏漏洞——存储型XSS(用户备注字段未过滤特殊字符)、SQL注入(还款计划查询接口拼接用户输入的身份证号)、CSRF(修改绑定手机号接口未携带Token)。针对XSS,推动前端对用户输入实施「正则校验+HTML实体转义」,后端增加CSP头限制脚本来源;针对SQL注入,重构所有查询接口为MyBatis预编译语句,替换原有JDBC拼接逻辑;针对CSRF,生成随机Token嵌入表单并验证Referer。最终该系统季度漏洞率从18%降至2.7%,上线6个月内未发生任何因Web漏洞导致的资金损失事件。
- 开发内部Web安全自动化检测平台:针对人工扫描效率低、覆盖不全的痛点,用Python Flask+Vue搭建「小楷Web盾」平台,集成AWVS API实现页面级自动化扫描、集成Nessus API检测服务器配置漏洞,同时关联GitLab CI/CD流程,实现「代码提交→自动扫描→漏洞告警」的左移检测。平台上线后,扫描覆盖率从60%提升至95%,单次全量扫描时间从4小时缩短至50分钟,研发团队接收漏洞告警的响应时长从12小时压缩至2小时内。
- 牵头双11金融大促安全保障:提前1个月制定「交易链路安全专项方案」,一方面用Cloudflare WAF配置自定义规则,拦截针对支付接口的DDoS攻击(如SYN Flood)和SQL注入 payload;另一方面通过ELK栈收集网关、应用、数据库的全链路日志,设置「异常IP高频访问」「单用户10分钟内10次以上支付失败」等告警规则。大促期间共拦截12次DDoS攻击(峰值流量达50Gbps)、3次针对支付接口的SQL注入尝试,保障了活动期间支付成功率稳定在99.99%,未出现任何安全事件导致的用户体验中断。
- 推动安全能力向研发侧渗透:联合研发总监将Web安全指标纳入KPI,比如「代码中SQL注入风险点占比」「XSS防护逻辑覆盖率」;同时在Jenkins中集成SonarQube和OWASP Dependency Check,对研发提交的代码进行静态安全扫描,对依赖库(如Spring Boot、Jackson)的已知漏洞(如CVE-2023-29469)进行实时预警。落地3个月后,研发代码中的安全缺陷率从35%降至11%,依赖库漏洞修复率从70%提升至100%。
