menardrop-cpu/cybersecurity

# 网络安全作品集    Jedha Bootcamp Fullstack & Lead 的密集网络安全转型课程。 我记录了我的安全分析、审计、技术实验和威胁情报工作，重点关注 GRC（治理、风险与合规）。我的目标是成为一名安全顾问，能够将技术挑战转化为商业决策。 ## 方法论 我将安全视为**一个首先关乎治理，其次才是技术的议题**。这意味着： * 每个已识别的漏洞都会被转化为**业务影响**（CIA 评分、严重性） * 每次审计都会产生**面向决策者的交付物**：执行摘要 + 分级建议 * 技术利用只有在能量化真实风险时才会引起我的兴趣 ## 结构 | 文件夹 | 内容 | |---------|---------| | **Audits/** | 渗透测试报告（Evil Corp、CVE 分析）、风险分析、ISO 27001 差距分析、供应商评估 | | **Red-Team/** | CTF 复盘、Web 安全实验（OWASP Top 10）、内核漏洞利用、TTP 验证 | | **Network/Infrastructure/Docker/** | 网络架构、安全部署、基础设施文档 | | **Fondamentaux/** | 培训营笔记（Bash、Python、网络、SQL） | ## 我的原创产出 * **[osint-wiki](https://github.com/menardrop-cpu/osint-wiki)** / 结构化 OSINT 知识库：技术、工具、工作流程、可靠来源 * **[grc-foundations](https://github.com/menardrop-cpu/grc-foundations)** / 治理笔记与模式：ISO 27001、NIST CSF、威胁建模、风险登记册 这两个仓库是我在每次审计中**使用和优化**的工具。 ## 方法论与框架 * **OWASP Top 10 2021** / 应用程序渗透测试与 Web 实验 * **NIST 网络安全框架** / 成熟度评估 * **ISO 27001:2022** / 合规性审计（14 个域，93 项控制措施） * **MITRE ATT&CK** / 敌手 TTP 映射 * **CVSS v3.1** / 漏洞评分 ## 我的所学（Jedha） **基础**：Bash、Python、SQL、网络、安全概念 **红队**：Web 漏洞利用（注入、XSS、CSRF、认证）、侦察、Metasploit、内核漏洞利用 **审计**：渗透测试方法论、报告撰写、风险评分、业务建议 **基础设施**：Docker、安全部署、防御性架构 ## 认证与规划 * **ISC² CC** / 2026 年 6 月（计划考试） * **ISO 27001 主任实施者** / 2026 年下半年（培训营结束后） * **TryHackMe** * **SecNumAcadémie ANSSI** / 2026 年 1 月认证 ## 致招聘人员与顾问 * 专注于技术向业务决策的转化（这是顾问区别于技术人员的关键） * 正在进行密集培训（自 2026 年 4 月 27 日起参加 Jedha 培训营） **更新日期**：2026 年 5 月

标签：事件响应, 后端开发, 多线程, 应用安全, 请求拦截, 逆向工具