主导电商平台核心交易链路、用户隐私系统及支付网关的Web安全防护体系建设，负责漏洞全生命周期管理、安全工具研发及重大安全事件应急响应，覆盖从需求评审到上线运营的全流程安全管控

• 主导电商订单系统OWASP Top 10专项治理，使用Burp Suite Enterprise、AWVS 2024进行自动化扫描，结合人工渗透测试发现SQL盲注、存储型XSS、不安全的反序列化等高危漏洞12个；针对订单查询接口的SQL盲注问题，设计“参数化查询+动态SQL白名单+输入语义校验”三重防护方案，修复后接口漏洞触发率从15%降至0.2%，全年未发生因该漏洞导致的用户订单数据泄露事件
• 核心参与支付链路安全加固项目，针对支付回调接口的CSRF攻击风险，提出“Referer白名单校验+AES-256加密Token双重验证”机制，使用Go语言开发CSRF Token自动生成与校验中间件，集成至Spring Cloud Gateway；方案落地后支付回调接口CSRF攻击成功率从35%降至0，支撑双11期间1.2亿笔支付交易零安全事故
• 研发Web安全漏洞自动化检测平台，基于Python Flask框架整合SQLMap、XSStrike及自研规则引擎，实现对公司200+Web应用（含小程序后端）的每周自动化扫描；平台添加“业务逻辑漏洞识别模块”，识别出优惠券叠加领取、越权查看订单等场景化漏洞8个，将漏洞发现周期从7天缩短至1天，漏报率降低40%，释放安全团队30%人工测试精力
• 主导Log4j2 RCE漏洞（CVE-2021-44228）应急响应，使用Ansible批量扫描公司系统组件依赖，定位11套系统使用高风险版本Log4j2；通过“热补丁替换+流量镜像检测”快速修复，同时开发Log4j2组件版本检测插件，集成至Jenkins CI/CD Pipeline，后续新增依赖自动拦截CVE-2021-44228等高危组件，至今未再引入同类漏洞

负责游戏运营平台、用户中心及GM工具的Web安全防护，聚焦漏洞挖掘、安全合规整改及开发团队安全能力赋能

• 主导游戏用户中心系统安全整改，针对注册接口的暴力破解问题，设计“图形验证码+IP滑动窗口限流+账号锁定”组合策略，使用Redis实现限流逻辑，将暴力破解成功率从28%降至1%；同步编写《游戏业务Web安全编码规范》，组织开发团队3场培训，覆盖120人次，后续新功能上线漏洞率从45%降至20%
• 研发Web应用防火墙（WAF）自定义规则模块，基于ModSecurity扩展规则库，针对GM工具接口的越权访问漏洞，编写“用户角色-接口权限”匹配规则，拦截12起内部员工误操作及外部试探性攻击，保护了游戏道具、金币等核心资产不被非法篡改
• 参与游戏官网HTTPS加密改造，解决混合内容导致的SSL/TLS警告问题，配置HSTS头强制HTTPS访问，优化TLS 1.3协议及ECDHE密钥交换算法；改造后Mozilla Observatory网站安全评分从B级提升至A+级，用户对平台的信任度调研得分提高18%
• 主导“游戏账号被盗”事件溯源，通过分析Web日志及数据库操作记录，定位攻击者利用XSS漏洞窃取用户Cookie的路径；推动修复XSS漏洞并添加“Cookie HttpOnly+Secure属性”，后续同类攻击事件下降85%

协助完成公司官网、内部OA系统及客户管理系统的Web安全漏洞挖掘与修复，参与安全工具测试及安全文档编写，积累全链路Web安全实践经验

• 协助完成公司官网及OA系统漏洞扫描，使用Nessus、OpenVAS进行自动化扫描，结合手工测试发现XSS、文件上传（未授权）、敏感信息泄露等中低危漏洞23个，推动开发团队48小时内完成修复，保障内部系统及对外官网的安全运行
• 参与开发Web安全测试辅助工具，用Python编写自动化SQL注入检测脚本，整合常见注入payload（如UNION SELECT、SLEEP函数）及错误回显判断逻辑，将单系统SQL注入检测时间从4小时缩短至1小时，提升测试效率
• 编写《Web安全常见问题解决手册》，收集整理公司近一年15个典型漏洞案例（如CSRF、点击劫持）及解决方法，发放给开发团队；手册落地后，同类漏洞发生率从30%降至18%，成为新人安全培训的核心资料
• 协助处理客户管理系统（CRM）的会话劫持事件，通过分析Cookie传输方式，定位HTTPS未强制跳转的问题；推动配置Nginx重定向规则，强制所有HTTP请求跳转至HTTPS，后续未再发生会话劫持导致的客户数据泄露

星途互娱全链路游戏账号安全防护体系搭建

• 星途互娱作为月活超5000万的头部休闲游戏厂商，2022年Q1面临账号盗刷事件环比上升45%、黑产通过模拟器+改机工具绕过传统防护的困境，核心目标是由我主导搭建覆盖“注册-登录-交互-支付-资产转移”全链路的账号安全防护体系，将盗刷率降至0.1%以下并拦截95%以上黑产攻击。
• 项目核心挑战有三：一是多端（APP/H5/小程序）数据割裂，无法统一识别风险；二是黑产动态对抗，传统静态设备指纹识别率跌至60%；三是实时性与性能平衡，风控决策需在100ms内完成，否则影响用户体验。
• 我的解决路径：1）梳理12个高风险节点（如异地登录、新设备首单支付），设计节点专属策略；2）整合设备硬件熵值、行为操作轨迹、环境网络特征构建500+维度用户画像；3）为解决客户端推理性能，将XGBoost模型转换为TensorFlow Lite格式，通过剪枝冗余特征、量化浮点运算，把推理时间从500ms压至120ms且保持90%以上准确率；4）推动客户端嵌入特征SDK、后端用Flink搭建实时风控引擎、数据侧整合第三方威胁情报，形成风险闭环。
• 项目成果：上线6个月盗刷率降至0.07%，月均拦截12.6万次黑产攻击，阻止一起2000万账号规模的撞库事件，减少用户资产损失1500万元；实时引擎延迟稳定在80ms内，客户端指纹采集耗时降至50ms，未影响用户体验（同期DAU增长2%）；申请2项发明专利（已进入实审），输出的防护方案成为公司安全团队标准，且用户“账号安全”满意度从78%升至92%，助力主力游戏季度收入增长8%。

游戏支付链路反欺诈精准拦截系统研发

• 彼时公司游戏支付环节欺诈率高达0.21%，主要源于黑产利用“虚假手机号+盗刷银行卡”组合作案，而现有规则引擎仅能拦截30%的欺诈交易，我的目标是主导研发精准支付反欺诈系统，将欺诈率降低至0.08%以下。
• 难点在于：黑产支付特征分散在支付渠道、用户设备、行为日志中，难以关联分析；且欺诈模式随时间演变，静态规则无法覆盖新变种。
• 我的行动：1）打通支付网关、用户中心、设备指纹库的数据链路，构建支付交易全维度数据集（含支付金额、收款方信誉、设备更换频率等300+特征）；2）采用LightGBM算法训练欺诈预测模型，通过网格搜索优化超参数，将模型AUC从0.78提升至0.89；3）设计“规则+模型”双引擎架构，规则处理高频低风险场景（如单笔超5000元的陌生收款方），模型处理低频高风险场景（如跨地域快速支付），实现效率与精准度平衡。
• 成果：系统上线后支付欺诈率降至0.07%，月均拦截欺诈交易4.2万笔，减少资金损失约600万元；模型迭代周期从每月1次缩短至每周1次，能快速应对黑产新变种；该方案被纳入集团支付安全标准，推广至旗下金融板块，间接创造跨业务价值。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。