渗透测试:负责Web应用、移动APP、小程序、API接口、后台管理系统的定期渗透测试与漏洞挖掘
安全测试体系建设:制定安全测试标准流程,设计测试用例库,建立自动化安全测试能力
代码安全审计:白盒/灰盒代码审计,使用SAST工具结合人工分析发现业务逻辑漏洞与高危安全隐患
漏洞全生命周期管理:负责漏洞发现、验证、报告输出、修复跟进与复测闭环,确保风险及时处置
安全评审与咨询:参与需求评审、架构设计评审,从源头识别安全风险并提供解决方案
红队演练支持:参与红队攻防演练项目,负责特定环节的渗透测试与攻击链验证
内网渗透评估:开展内网渗透测试,评估网络隔离、权限控制、横向移动防护的有效性
攻防技术研究:跟踪最新攻击技术,研究漏洞利用方法,为安全测试提供实战化视角
应急响应协助:参与安全事件分析,提供渗透测试角度的入侵路径复盘与加固建议