核心方向
Web渗透测试 | CTF竞赛
技术栈
Web安全
- 漏洞挖掘:SQL注入、XSS、CSRF、SSRF、文件上传/包含、命令注入
- 漏洞利用与修复:熟悉常见框架(ThinkPHP、Struts2、Fastjson等)的历史漏洞
- 渗透测试流程:信息收集 → 漏洞探测 → 利用提权 → 后渗透与报告输出
- 常用工具:Burp Suite、SQLmap、Nmap、Dirsearch、Ysoserial
CTF竞赛
- Web方向:PHP/Java代码审计、反序列化、条件竞争、JWT伪造
- Crypto:古典密码、RSA常见攻击、哈希长度扩展
- Misc:流量分析、隐写、内存取证
- 平台经历:Bugku、攻防世界、NSSCTF、国赛/省赛
编程能力
| 语言 | 应用场景 |
|---|---|
| Python | 渗透脚本编写(爬虫、爆破、漏洞POC) |
| PHP | 代码审计、漏洞环境复现 |
| Java | 反序列化漏洞分析、Spring相关漏洞研究 |