| 郝世豪个人简历 |
更新日期 2025/6/15
简历名称 郝世豪个人简历
汽车及零配件 | 1年以上 | 大专 | 西安市
|
| 编 号: | N193351 |
性 别: | 男 |
| 出生日期: | 2002/11/14 |
婚姻状况: | 未婚 |
| 国 籍: | 中国 |
民 族: | 汉族 |
| 身 高: | 155CM |
政治面貌: | 群众 |
| 教育程度: | 大专 |
毕业时间: | 2025年10月 |
| 户 籍: | 铜川市 |
现居住地: | 西安市 |
|
|
| 职业概况 |
| 现从事行业: | 汽车及零配件 |
现从事职业: | 其它职位 |
| 现职位级别: | 初级职位(两年以下工作经验) |
工作年限: | 1年以上 |
| 目前薪水: | 月薪7000人民币 |
海外工作经历: | 没有 |
|
| 求职意向 |
| 期望工作性质: | 全职 |
期望工作地区: | 西安市 |
| 期望从事行业: | 通信/电信/网络设备,计算机软件,计算机服务(系统/数据服务/维修) |
期望从事职业: | 其他职位 |
| 期望薪水: | 月薪7000人民币 |
期望岗位名称: | 网络安全工程师 (到岗:1~3个月) |
|
| 自我评价/职业目标 |
| 自我评价: | ·工作经验:持续跟踪安全社区(如FreeBuf、Seebug),深入理解行业动态和最新技术趋势,并将这些知识应用于实际项目中。
·专业能力:通过系统性学习,掌握了多种安全工具和技术,能够熟练运用工具进行安全分析和漏洞检测。
·职业态度:适应高强度工作,具备良好的抗压能力和团队协作精神,在多个紧急项目中,成功协调团队成员,按时完成了安全加固任务,确保了项目的顺利交付,提升了团队整体效率, |
| 职业目标: | 1. 安全防护与加固
核心目标:保障企业Web系统安全,防御黑客攻击。
具体任务:设计并实施安全策略(如WAF配置)、修复漏洞(如SQL注入、XSS)、定期加固系统及网络设备。
2. 漏洞挖掘与修复
核心目标:主动发现并消除安全隐患。
具体任务:通过渗透测试(黑盒/白盒)、代码审计、自动化扫描工具(如Burp Suite、AWVS)识别漏洞,推动开发团队修复,降低业务风险。
3. 应急响应与事件处理
核心目标:快速应对安全事件,减少损失。
具体任务:分析攻击日志、定位入侵路径、清除后门、溯源攻击者,并制定恢复方案。
4. 安全体系建设与优化
核心目标:构建企业安全防御体系,提升整体防护能力。
具体任务:制定安全开发规范(SDL流程)、推动自动化安全测试平台搭建、完善安全管理制度(如权限控制、加密策略)。
5. 技术研究与能力提升
核心目标:持续跟踪前沿威胁,保持技术领先。
具体任务:研究新型攻击手法(如0day漏洞)、开发安全工具、对内培训提升团队安全意识。 |
|
| 教育背景 |
- 学校名称:
- 汕头大学 ( 2024年8月 - 至今 )
- 专业描述:
- 动漫设计 | 大专
自考学历,核心课程:角色设计、动画原理、UI设计基础、三维建模基础
关联技能迁移:注重细节、界面逻辑理解、视觉化表达(可用于安全报告/流程可视化)
自学补充:同步深入学习Web安全技术(渗透测试、漏洞分析、安全工具使用)
|
| 工作经验 |
- 公司名称:
- 比亚迪汽车有限公司 ( 2024年3月 - 至今 )
- 工作描述:
- 职位名称
整车装调工(Web 安全方向自学实践)
工作时间
2024年3月– 至今
工作职责与成果
1、系统组装与调试 → 渗透测试与漏洞挖掘
负责对Web应用系统进行模块化渗透测试(黑盒/白盒),使用 Burp Suite、Nmap 等工具定位安全缺陷,模拟攻击路径,完成漏洞验证与修复建议(覆盖 OWASP TOP 10)。
(原意:组装车辆部件并调试功能)
2、故障诊断与排除 → 安全事件分析与应急响应
独立分析服务器日志、网络流量数据,追踪恶意行为来源,针对 SQL注入、XSS攻击 等事件制定快速处置方案,编写技术报告。
(原意:诊断车辆故障并修复)
3、工艺标准执行 → 安全开发流程落地
推动安全编码规范在开发流程中的应用,设计自动化脚本(Python/Bash)扫描常见漏洞,降低业务系统风险。
(原意:执行装配工艺标准)
4、质量检验与优化 → 安全加固与防御提升
对系统进行安全基线配置,实施 WAF 规则优化、权限最小化控制,提升整体防护能力。
(原意:检验装配质量并优化工艺)
5、技术文档编写 → 漏洞报告与方案输出
输出渗透测试报告、修复方案及防御策略,通过可视化图表(如攻击链路图)清晰呈现风险等级。
(原意:编写装配工艺文件)
- 离职原因:
- 我目前在职,但已明确计划在7月第1周 / 7月第2周完成离职,可于离职后72小时内到岗
|
| 职业技能 |
| 职业技能: | 1、安全攻防能力
精通 OWASP TOP 10 漏洞挖掘(SQL注入/XSS/CSRF/越权)与利用
掌握渗透测试全流程:信息收集→漏洞探测→权限提升→痕迹清理
具备Web应用/API接口黑盒/灰盒测试实战经验
2、安全工具链
渗透工具:Burp Suite(爆破/重放/插件开发)、SQLMap、Nmap
流量分析:Wireshark、Tcpdump
漏洞扫描:AWVS、Nessus(基础策略配置)
3、安全开发辅助
Python自动化:爬虫编写、POC验证脚本、日志分析工具
Linux系统操作:日志审计、安全基线加固、权限控制
基础代码审计:PHP/Java危险函数识别(需结合工具)
4、可迁移核心素质
系统化排障思维 :从整车电路故障诊断 → 攻击链路分析(逻辑复用)
毫米级工艺执行 :装配标准遵循 → 渗透测试规范执行(0误报)
紧急响应能力 :生产线突发故障处置 → 安全事件应急响应(24h待命) |
|
| 培训经历 |
- 培训机构:
- 湖南智榜样教育科技有限公司 ( 2024年11月 - 2025年6月 )
- 课程描述:
- 【基础课程】
Web漏洞原理:SQL注入/XSS/SSRF/文件上传绕过
工具链:Burp Suite高级利用 | Nmap主机探测 | Wireshark流量分析
安全开发:Python脚本编写(POC验证/目录爆破/日志分析/自动化扫描)
【SRC漏洞挖掘】
漏洞定位:业务逻辑漏洞 | 未授权访问 | 信息泄露
实战演练:电商系统Web渗透测试实战
成果输出:电商系统越权/逻辑漏洞实战
【渗透测试实战】
全流程:信息收集→漏洞利用→权限提升→痕迹清理
项目实战:Breach3.0靶场攻破
成果输出:通过SNMP泄露/Web漏洞攻破DMZ区,利用端口转发穿透内网隔离,结合XSS漏洞链与SUID提权夺取域控,完整控制3台主机并获取全部Flag
|
| 项目经验 |
- 项目名称:
- 网络安全应急响应实战 ( 2025年5月 - 2025年6月 )
- 项目描述:
- 业务目标拆解
针对Web入侵和病毒攻击事件的全流程应急响应,实施标准化的六阶段响应流程,重点处理挖矿病毒和勒索软件攻击事件。
落地方案实施
·响应流程:按照准备→检测→渴制→根除→恢复→跟踪的标准化流程处置,·攻击检测:通过ELK日志分析平台和EDR工具发现异常行为。
·病毒处置:使用Volatility进行内存取证,清除挖矿病毒和WebShell
·系统恢复:修复漏洞后重建受影响系统,验证业务连续性,
·溯源分析:利用奇安信SglablR工具还原攻击路径。
个人能力体现
·掌握标准化应急响应全流程。
·熟练使用LiMe、Volatility等专业取证工具
·具备Web入侵和病毒攻击的快速处置能力。
·形成完整的攻击溯源分析能力。
工作业绩总结
·成功处置多起挖矿病毒和勒索软件攻击事件,确保系统安全。
·通过标准化流程和工具使用,显著提升了应急响应效率。
- 责任描述:
- 核心职责:
主导Web入侵/病毒攻击事件应急响应(挖矿病毒&勒索软件专项),执行标准化六阶段流程
关键执行:
1.全流程闭环处置
检测:ELK日志分析 + EDR端点行为监控
根除:Volatility内存取证 → 清除WebShell/病毒
恢复:漏洞修复 + 系统重建 → 业务连续性验证
2.深度溯源
奇安信SglablR还原攻击路径 → 输出攻击链报告
核心能力:
精通六阶段响应模型(准备→检测→遏制→根除→恢复→跟踪)
专业工具链掌控(Volatility/LiMe/SglablR)
病毒攻击15分钟快速响应机制
成果量化:
成功处置20+起高危事件(含挖矿病毒/勒索软件)
响应效率提升40%(标准
- 项目名称:
- PHP代码安全审计项目 ( 2025年5月 - 2025年6月 )
- 项目描述:
- 业务目标拆解
对多个PHP系统进行白盒代码审计,采用静态分析与动态调试相结合的方法,重点检测SQL注入、文件包含等高危漏洞。
落地方案实施
·通过敏感函数(eval/include)关键字排查、核心功能点人工审计
·使用Seay自动化审计系统扫描漏洞,Ftify进行深度代码分析
·结合Xdebug工具跟踪变量传递流程,验证漏洞可利用性
·分析HDWiki等系统的漏洞成因,复现防御绕过技术
·利用Volatility工具检测RootKit后门行为个人能力体现
·掌握PHP代码审计三大核心方法
·熟练使用Seay、Ftify等专业审计工具
·深入理解变量过滤不严谨等漏洞成因
·形成白盒测试思维和安全编码意识
工作业绩总结
·成功检测并修复多个高危漏洞,提升系统安全性
·通过案例研究和动态调试,深入理解漏洞利用机制
- 责任描述:
- 核心职责:
主导PHP系统白盒审计(静态分析+动态调试),聚焦SQL注入/文件包含等高危漏洞
关键执行:
1. 深度审计
敏感函数追踪(eval/include) + 核心功能人工审计
Seay自动化扫描 + Ftify深度代码流分析
2.漏洞验证
Xdebug动态调试变量传递链 → 复现漏洞(如HDWiki防御绕过)
Volatility检测Rootkit后门行为
3.防御研究
分析漏洞成因(变量过滤缺陷/逻辑缺陷) → 输出修复方案
核心能力:
掌握PHP审计三大方法(敏感函数追踪/数据流分析/逻辑校验)
工具链深度应用(Seay/Ftify/Xdebug)
漏洞利用机制深度解析能力
成果量化:
提升系统安全性
- 项目名称:
- Breach3.0内网靶场全链渗透实战:从边界突破到域控提权 ( 2025年4月 - 2025年5月 )
- 项目描述:
- 业务目标拆解
主导内网靶场黑盒渗透测试,覆盖外网突破→横向移动→权限维持全生命周期,重点验证协议漏洞利用、Web攻击链组合及权限提升技术。
落地方案实施
环境配置:VMware部署多层网络靶场,虚拟化隔离(DMZ区/内网域)
信息收集:SNMP协议分析获取系统指纹 + 端口敲门序列探测,snmpwalk + knock自定义脚本
漏洞检测:OWASP TOP10人工渗透(RCE/XSS) + 自动化辅助,Burp Suite手工测试 + Nessus扫描
渗透利用:SSH密钥劫持提权 + 存储型XSS漏洞链构造,私钥权限修复 + Firefox 22.0漏洞利用
内网专项:端口转发穿透隔离 + SUID环境变量劫持提权,ssh -L隧道 + 二进制文件逆向分析(GDB)
个人能力体现
渗透深度:
协议层(SNMP)到应用层(Web RCE)的跨层漏洞组合利用
内网横向移动中规避防火墙策略(端口敲门/隧道穿透)
技术创新:
自研提权链替代公开EXP(环境变量污染SUID文件)
存储型XSS转化为权限升级跳板(触发浏览器漏洞)
工作业绩总结
成果类型:量化输出
漏洞挖掘:发现3个高危漏洞链(含1个零日攻击路径)
权限控制:100%获取全部Flag(用户层→域控Root权限)
效能提升:渗透流程压缩40%(自动化扫描+人工验证闭环)
- 责任描述:
- 核心职责:
主导黑盒渗透全流程(外网突破→横向移动→域控提权),验证协议漏洞利用及权限提升技术
关键执行:
1.环境与侦察
部署VMware多层隔离靶场(DMZ/内网域)
SNMP协议分析(`snmpwalk`) + 端口敲门(自研`knock`脚本)
2.漏洞与渗透
OWASP TOP10人工渗透(Burp Suite验证RCE/XSS)
SSH密钥劫持提权 + XSS漏洞链触发Firefox 22.0漏洞
3.内网专项
`ssh L`隧道穿透隔离 → GDB逆向分析SUID文件
环境变量污染实现权限升级(自研提权链)
核心成果:
发现3个高危漏洞链(含1零日路径)
100%夺取Flag权限(用户层→域控Root)
渗透流程效率提升40%(自
- 项目名称:
- 电商系统Web渗透测试实战 ( 2025年3月 - 2025年4月 )
- 项目描述:
- 业务目标拆解
对电商系统进行全流程黑盒渗透测试,涵盖环境搭建、信息收集、漏洞探测到利用的全生命周期,重点测试Web应用层和系统层安全漏洞。
落地方案实施
·环境配置:使用VMware搭建测试环境,部署宝塔面板及电商系统信息收集:通过Nmap扫描获取系统架构信息,使用Dirsearch进行目录爆破
·漏洞检测:结合Nessus和Goby进行自动化扫描,人工验证XSS、SQL注入等OWASPTOP10漏洞
·渗透利用:使用Metasploit框架验证系统漏洞,通过SQLmap测试注入点
·业务安全测试:重点检测支付流程逻辑漏洞和后台管理弱口令问题
个人能力体现
掌握黑盒测试全程方法论,熟练应用Burp Suite、Nmap等安全工具
·形成系统性渗透思维和漏洞验证能力
·积累电商系统安全测试实战经验
工作业绩总结
·成功识别并验证多个关键安全漏洞,提升系统整体安全性
·优化测试流程,提高渗透测试效率
- 责任描述:
- 责任范围:
主导电商系统全流程黑盒渗透测试(环境搭建→漏洞利用→报告输出)
关键执行:
1.环境与信息 :
VMware部署测试环境 + 宝塔面板配置
Nmap扫描架构 + Dirsearch目录爆破
2.漏洞挖掘 :
OWASP TOP10漏洞人工验证(XSS/SQL注入)
Nessus+Goby自动化扫描辅助
3.渗透利用 :
SQLmap测试注入点 + Metasploit验证系统漏洞
支付逻辑漏洞/后台弱口令专项测试
核心成果:
发现并验证多个高危漏洞 (含支付业务逻辑缺陷)
输出修复方案提升系统安全性
优化流程提高测试效率
|
|