MuskanSayyedCySec/cyber-security-portfolio

# 网络安全作品集 网络安全理学硕士学生，在攻击性安全、网络防御、软件测试、安全治理和数字取证方面拥有丰富的实践经验。以下是我参与过的项目摘要，包含每个项目的具体内容以及所展现的技能。 ## Web 应用安全测试 这是一个实用的 Web 渗透测试项目，在其中我研究了一系列存在漏洞的 Web 应用程序，并利用了各种常见的缺陷。在整个项目中，我： - 检查页面源代码并解码混淆值（Base64） - 使用 curl 操控 HTTP 标头 - 绕过客户端身份验证和薄弱的登录控制 - 执行命令注入，在服务器上运行系统命令 - 利用失效的访问控制获取其他用户的记录 - 实施 SQL 注入并使用 sqlmap 导出数据库 - 通过篡改 cookie 和隐藏参数进行权限提升 - 对客户端代码进行逆向工程并解密加密字符串 技能：Web 漏洞利用、OWASP Top 10、curl、sqlmap、浏览器开发者工具、逆向工程。 ## 网络攻击与防御 我构建了一个隔离的三机虚拟实验室，研究了拒绝服务攻击如何影响网络以及如何防御它们。我： - 在内部网络上设置了攻击者、受害者和客户端虚拟机 - 使用 iperf 和 Wireshark 捕获正常的流量基线 - 使用 hping3 发起 ICMP 和 TCP SYN 泛洪攻击 - 测量了攻击期间的影响（延迟、丢包、吞吐量） - 使用 iptables 保护网络，包括一条速率限制规则，该规则可在阻止攻击的同时仍允许合法流量通过 技能：网络安全、流量分析、Wireshark、iperf、hping3、iptables、DoS 攻击与防御。 ## 软件测量与测试 这是一个软件测试项目，我设计了一套完整的测试套件，以暴露一个 faulty 应用程序中的缺陷。我： - 使用 JUnit 5 编写功能测试 - 使用 Mockito 隔离并验证组件行为 - 应用了等价类和边界值测试（空输入、无效值、边界） - 达到了极高的代码覆盖率，并识别出业务逻辑中的多个故障 技能：软件测试、JUnit 5、Mockito、测试设计、代码覆盖率分析。 ## 数字取证与恶意软件分析 这是一个研究项目，旨在分析针对求职者的现代信息窃取恶意软件。我记录了： - 完整的攻击链，从钓鱼和 ClickFix 风格的投递到执行 - 使用 PowerShell 和 living off the land binaries 的无文件内存执行 - 凭据和 session cookie 窃取，以及 session 劫持如何绕过多因素身份验证 - 使用域名生成和 fast flux DNS 的命令与控制基础设施 - 涵盖技术、法律、经济和意识控制的分层缓解策略 我将这些行为映射到了 MITRE ATT&CK 框架。 技能：恶意软件分析、威胁研究、MITRE ATT&CK、取证、技术写作。 ## 安全管理 从这个项目中我学会了如何： - 将网络安全风险转化为非技术性董事会能理解的业务语言，并将其与治理、声誉、财务损失和监管风险敞口联系起来 - 为系统性采用英国政府的 Cyber Essentials 计划提供论据，解释其五项核心控制措施以及每一项如何降低实际业务风险 - 论证合规性是基准而非上限，并且董事会层面的责任超越了任何单一框架，延伸至更广泛且不断演变的威胁态势 - 将安全决策与业务增长、第三方和云服务风险以及董事会层面的问责制联系起来 技能：治理、风险与合规（GRC）、Cyber Essentials、风险沟通、安全战略、董事会级别顾问。 ## 联系方式 - LinkedIn: https://www.linkedin.com/in/muskan-sayyed-cybersec/

标签：AI合规, CISA项目, DNS 反向解析, pocsuite3, 数字取证, 数据泄露, 网络安全, 网络攻防, 自动化脚本, 软件测试, 隐私保护