主导电商平台核心交易链路、用户隐私系统及支付网关的Web安全防护体系建设，负责漏洞全生命周期管理、安全工具研发及重大安全事件应急响应，覆盖从需求评审到上线运营的全流程安全管控

• 主导电商订单系统OWASP Top 10专项治理，使用Burp Suite Enterprise、AWVS 2024进行自动化扫描，结合人工渗透测试发现SQL盲注、存储型XSS、不安全的反序列化等高危漏洞12个；针对订单查询接口的SQL盲注问题，设计“参数化查询+动态SQL白名单+输入语义校验”三重防护方案，修复后接口漏洞触发率从15%降至0.2%，全年未发生因该漏洞导致的用户订单数据泄露事件
• 核心参与支付链路安全加固项目，针对支付回调接口的CSRF攻击风险，提出“Referer白名单校验+AES-256加密Token双重验证”机制，使用Go语言开发CSRF Token自动生成与校验中间件，集成至Spring Cloud Gateway；方案落地后支付回调接口CSRF攻击成功率从35%降至0，支撑双11期间1.2亿笔支付交易零安全事故
• 研发Web安全漏洞自动化检测平台，基于Python Flask框架整合SQLMap、XSStrike及自研规则引擎，实现对公司200+Web应用（含小程序后端）的每周自动化扫描；平台添加“业务逻辑漏洞识别模块”，识别出优惠券叠加领取、越权查看订单等场景化漏洞8个，将漏洞发现周期从7天缩短至1天，漏报率降低40%，释放安全团队30%人工测试精力
• 主导Log4j2 RCE漏洞（CVE-2021-44228）应急响应，使用Ansible批量扫描公司系统组件依赖，定位11套系统使用高风险版本Log4j2；通过“热补丁替换+流量镜像检测”快速修复，同时开发Log4j2组件版本检测插件，集成至Jenkins CI/CD Pipeline，后续新增依赖自动拦截CVE-2021-44228等高危组件，至今未再引入同类漏洞

负责游戏运营平台、用户中心及GM工具的Web安全防护，聚焦漏洞挖掘、安全合规整改及开发团队安全能力赋能

• 主导游戏用户中心系统安全整改，针对注册接口的暴力破解问题，设计“图形验证码+IP滑动窗口限流+账号锁定”组合策略，使用Redis实现限流逻辑，将暴力破解成功率从28%降至1%；同步编写《游戏业务Web安全编码规范》，组织开发团队3场培训，覆盖120人次，后续新功能上线漏洞率从45%降至20%
• 研发Web应用防火墙（WAF）自定义规则模块，基于ModSecurity扩展规则库，针对GM工具接口的越权访问漏洞，编写“用户角色-接口权限”匹配规则，拦截12起内部员工误操作及外部试探性攻击，保护了游戏道具、金币等核心资产不被非法篡改
• 参与游戏官网HTTPS加密改造，解决混合内容导致的SSL/TLS警告问题，配置HSTS头强制HTTPS访问，优化TLS 1.3协议及ECDHE密钥交换算法；改造后Mozilla Observatory网站安全评分从B级提升至A+级，用户对平台的信任度调研得分提高18%
• 主导“游戏账号被盗”事件溯源，通过分析Web日志及数据库操作记录，定位攻击者利用XSS漏洞窃取用户Cookie的路径；推动修复XSS漏洞并添加“Cookie HttpOnly+Secure属性”，后续同类攻击事件下降85%

协助完成公司官网、内部OA系统及客户管理系统的Web安全漏洞挖掘与修复，参与安全工具测试及安全文档编写，积累全链路Web安全实践经验

• 协助完成公司官网及OA系统漏洞扫描，使用Nessus、OpenVAS进行自动化扫描，结合手工测试发现XSS、文件上传（未授权）、敏感信息泄露等中低危漏洞23个，推动开发团队48小时内完成修复，保障内部系统及对外官网的安全运行
• 参与开发Web安全测试辅助工具，用Python编写自动化SQL注入检测脚本，整合常见注入payload（如UNION SELECT、SLEEP函数）及错误回显判断逻辑，将单系统SQL注入检测时间从4小时缩短至1小时，提升测试效率
• 编写《Web安全常见问题解决手册》，收集整理公司近一年15个典型漏洞案例（如CSRF、点击劫持）及解决方法，发放给开发团队；手册落地后，同类漏洞发生率从30%降至18%，成为新人安全培训的核心资料
• 协助处理客户管理系统（CRM）的会话劫持事件，通过分析Cookie传输方式，定位HTTPS未强制跳转的问题；推动配置Nginx重定向规则，强制所有HTTP请求跳转至HTTPS，后续未再发生会话劫持导致的客户数据泄露

电商平台全链路交易安全防护体系研发

• 星途电商作为年GMV超千亿的综合电商平台，大促期间交易链路（下单-支付-履约）频繁遭受黑产新型攻击——如模拟正常用户行为的低频虚假下单、支付链路参数篡改、库存跨店刷单，导致用户投诉率上升12%、商家损失超千万。我的核心职责是主导构建覆盖全链路的主动安全防护体系，联动订单、支付、库存三大系统实现风险实时拦截与溯源。
• 项目面临两大技术瓶颈：一是传统规则引擎依赖静态特征（如IP频次、设备指纹），对低频变种攻击误报率高达35%；二是三大系统数据分散，无法实现跨环节的风险关联（如订单异常与支付账号异常的联动分析）；此外，大促峰值10万QPS下，实时拦截引擎的单请求处理耗时超120ms，存在性能瓶颈。
• ① 主导设计“规则引擎+机器学习+全链路溯源”三层架构：基于XGBoost训练交易异常检测模型，融合用户行为（浏览时长、页面跳转路径）、设备可信度（Root/越狱检测、模拟器识别）、地理位置（IP与收货地址偏差）等15维特征，精准识别低频恶意行为；② 利用Jaeger分布式追踪系统打通三系统日志，实现风险事件的秒级溯源（如从支付异常反查订单来源）；③ 重构实时拦截引擎，采用Kafka异步消息队列解耦流量处理，将单请求耗时降至40ms以内，支撑高并发场景。
• 项目上线后，交易链路黑产攻击成功率从18%降至7%，误报率降至8%以下；大促期间拦截恶意请求超200万次，直接减少商家损失1200万元。该方案成为公司电商业务的标准化安全模板，我主导的模型和架构设计获“年度技术创新奖”，并推广至旗下本地生活业务线。

金融开放平台API全生命周期安全管理平台研发

• 云信金融作为金融开放平台服务商，支撑200+银行、券商的API接口调用（如用户征信查询、转账、理财购买）。此前因缺乏统一安全管控，平台遭受恶意撞库（日均10万次）、数据爬取（非法获取用户信息）、非法转账尝试（月均50起），导致用户投诉率上升20%，且无法通过等保三级认证。我的职责是研发统一的API安全管控平台，解决多协议、多租户的安全管控问题。
• 项目核心挑战有三：一是支持REST、gRPC、WebSocket多协议API的细粒度安全检测，传统WAF仅能做HTTP层过滤；二是企业客户权限需求差异大（如A银行允许每分钟100次转账调用，B券商仅允许10次），静态权限模型无法满足灵活管控；三是API流量日志分散，合规审计需人工梳理，效率极低。
• ① 主导设计“身份认证-权限管控-流量审计”全生命周期平台：基于OAuth2.1和OpenID Connect实现多租户身份管理，支持API Key、JWT、生物识别（如银行U盾）等5种认证方式；② 自研轻量级协议解析引擎，针对gRPC的二进制流、WebSocket的长连接进行深度解析，识别异常请求（如高频重复的转账指令）；③ 设计动态权限模型，允许客户通过可视化界面配置API的调用频率、数据范围（如仅能查询本人征信）和访问时段，结合LSTM模型预测异常权限申请（如突然大幅提升调用频率）。
• 平台上线后，开放平台恶意API调用次数下降75%，用户隐私数据泄露事件清零；合规审计效率提升50%，支撑平台通过等保三级和PCI DSS认证。该平台成为公司核心产品模块，服务收入占比从15%提升至30%。我主导的“多协议API协议解析引擎”和“动态权限管控方法”申请了2项发明专利，其中1项已授权。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。