一、安全评估与渗透测试

执行Web应用、移动端及网络系统的渗透测试（黑盒/白盒/灰盒），独立编写渗透报告

利用Burp Suite、Metasploit等工具挖掘SQL注入、XSS、CSRF等OWASP TOP 10漏洞

针对业务系统设计攻击路径，模拟APT攻击场景

二、漏洞分析与修复

分析漏洞成因并提供修复方案，跟踪验证修复效果

研究新型攻击技术（如0day漏洞、云安全威胁）

参与SDL流程，在需求设计阶段提出安全建议

三、安全防护体系建设

开发自动化扫描工具或脚本（Python/Go）

参与WAF、IDS/IPS等安全策略优化

建立红队作战能力，组织内部攻防演练

四、应急响应

处理安全事件，溯源攻击链并制定处置方案

编写应急预案和技术防护手册