渗透测试工程师在找工作做简历的时候,经常不知道求职简历中的项目经验板块怎么写,下面是简历网小编整理的适合渗透测试工程师在做简历时写的项目经验范文5篇!希望能帮助到大家。
范文1
项目名称:广东省xx2022网络安全攻防演练
项目周期:2022.06-至今 (11个月)
参与角色:渗透测试工程师
职责
作为深信服攻击队主力得分手,拿下多个重点系统及靶标,并成功取得攻击方一等奖的成绩。
1.通过收集开发商相关资产系统,找到文件上传点,绕过代码层面限制,拿到外网服务器权限。
2.代理隧道进入开发商内网,通过vcenter历史漏洞控下所有服务器,找到VPN账号密码。
3.通过VPN进入水利厅直属二级单位内网,横向翻到密码本,拿到指定靶标系统的控制权。
范文2
项目名称:xx大学安全服务项目
项目周期:2021.04-至今 (2年1个月)
参与角色:渗透测试工程师
描述
对学校信息系统进行渗透测试工作
职责
1.对学校信息系统进行渗透测试,挖掘出数十个高价值漏洞,并提供安全加固建议
2.对内部安全防护设备进行检测,如测试SQL注入、文件上传、命令执行漏洞等绕过方法。
3.对新业务系统上线前进行安全评估工作
范文3
项目名称:vulnhub靶场练习
项目周期:2022.01-至今 (1年4个月)
参与角色:渗透测试,内网渗透
描述
在 vulnhub 网站上下载靶机进行实战训练,提高自己的渗透测试和漏洞利用能力,同时增强对于 Web 应用程序和系统安全的认知。
业绩
1. 成功攻克了多个 Vulnhub 靶场,包括 Web 应用程序和系统漏洞,提高了渗透测试和漏洞利用能力。
2. 通过练习,发现了自身在渗透测试和漏洞利用方面的不足和问题,深刻认识到了自身的不足和提升空间。
3. 在练习中,锻炼了解决问题的能力,提高了综合素质和实战能力。
范文4
项目名称:棋牌包网渗透
项目周期:2020.10-2023.03 (2年5个月)
参与角色:核心成员
描述
主要职责:不计手段获取权限、定位关键后台、稳控、数据获取
1、部署水坑获取棋牌运维主机权限,通过键盘记录、剪贴板记录获取运维的堡垒机账号密码,进入企业内网,拿下域控,找到核心服务器、数据库,打包相关证据
2、制作钓鱼程序,在TG撒网,打到集团广告采购专员、招聘专员,通过控制内网网关设备、流量劫持,获取内网机器权限,抓取后台登录密码
3、通过xss打到客服后台cookie,进入网站后台,网页挂马拿下客服机器、抓浏览器密码,发现客服访问内网统一管理系统,拿下管理平台权限,推马获取内网权限,在核心服务器做稳控
4、通过前台活动站Fuzz在js中发现泄露的后台上传路径,尝试拼接,发现可以构造上传包,上传webshell,定点挂马钓鱼,打到管理员,通过抓取管理员机器账号密码,找到大量服务器,定位到网站后台
范文5
项目名称:大型企事业单位内网渗透
项目周期:2020.06-2020.10 (4个月)
参与角色:核心成员
描述
主要职责:权限获取、内网横向、还原攻击、溯源反制
1、通过在野利用的微软CVE细节,编写批量扫描脚本,全球扫描,拿到某重点国家网站权限,拿下域控以及域内多台机器,获取数据,清理痕迹
2、一个科技网站,发现其资产疑似商业产品二开,通过暴力破解找到一个账号密码,但是无法登录,提示IP不合法,通过fofa捞取特征,找到供应商的在线试用平台,突破网络隔离拿到该供应商公司生产段机器权限,利用供应商隧道顺利进入靶标内部
3、某部委客户提供的受攻击日志,溯源找到一台跳板机,该跳板机被多个组织利用,稳控该肉鸡,分析网站流量,发现了某组织的webshell,跟踪分析找到C2,利用ssh登录劫持、RDP登录劫持,抓到其跳板密码,打掉其控制的其余跳板,以及抓取到其控制的目标机器,然后相关证据保留
