Aseem Shrey
Verified Expert in Engineering
Vulnerability Assessment Developer
Aseem喜欢用Go构建DevSecOps管道和设置自动化, Python, Terraform, CI/CD pipelines, AWS Lambda, and Google Cloud Platform (GCP), among others. 有效管理大规模基础设施安全, 他经常在这些系统中构建容错系统和自动故障检测. Aseem会审查用于生产的代码更改,以解决安全问题,并经常参与web应用程序渗透测试.
Portfolio
Experience
Availability
Preferred Environment
Python, Go, Kali Linux, Burp Suite, OWASP Top 10, OWASP Zed Attack Proxy (ZAP), Android, Web Security, Red Teaming
The most amazing...
...我开发的是一个遵从性即代码框架,它根据CIS基准扫描整个Google云平台(GCP).
Work Experience
Security Engineer
自雇人士(与美国和欧洲的客户合作)
- Created a CVE bot issue tracker, 基于库处理类似的问题,并在Jira上为相同的问题创建门票. Populated a CVE dashboard on Jira.
- 创建了一个Python程序来监视对生产Amazon S3 (AWS S3)存储桶的更改. 自动恢复任何危险配置. 使用Amazon EventBridge和AWS Lambda.
- 利用Trivy自动化CI/CD管道中的容器安全. 给客户提供了安全容器的实时信息.
安全评估的黑盒渗透测试器
高等教育可持续发展促进会
- 帮助客户完成对其web应用程序的多个角色的黑盒测试. 这是一个有近20个不同页面的web应用程序, four different roles, 并获得参与用户的关键数据.
- 发现了一个关键的bug和一些高级和中级的bug,帮助客户保存了参与用户的敏感信息.
- 建议客户采取最好的措施和接下来的步骤来防止这些错误.
Vulnerability Assessment Engineer
Yahoo! -偏执狂(网络安全)-印度
- 为漏洞日志管理系统重写并优化了Python工具. 这是一个跨团队的项目,我和其他团队在paranoid(雅虎的安全组织)工作。.
- 迁移了负责处理数十亿输入数据点的旧安全系统. 我和另外三个人,只能进入这些系统. 这有助于安全监控团队掌握任何发生的事件.
- 帮助开发StackStorm集成的自动化,以便在组织中得到更广泛的采用.
Security Engineer
Rippling
- 在SecInfra团队工作,通过代码构建安全自动化. 构建了由JIRA支持的漏洞管理系统(VMS),用于集中我们所有的安全发现并对其实施.
- 作为保证团队的一部分,构建产品安全自动化. 这用于进行自动动态应用程序安全性测试(DAST)。. 它是一个自助门户网站,供开发人员上传他们的Postman收集以供扫描.
- 与ProdSec团队合作,进行威胁建模,代码审查等.
高级信息安全工程师
Gojek
- 在Google Cloud中构建了一个Go框架来遵循基准测试和自动修复. 优化成本和实时解决方案.
- 对Gojek web API后端和Gojek Android应用程序中的任何功能版本执行渗透测试.
- 发现了关键漏洞,并升级了权限,使用低权限的第三方账户获得了几乎所有Gojek基础设施的管理权限.
- 为Gojek API或移动应用程序中的任何功能版本启动定期代码审查.
- 为Gojek组织了第一次安全会议. 包括为期两天的夺旗(CTF)比赛和外部和内部演讲.
- 与数百名研究人员一起管理Bugcrowd项目.
Security Engineer
Blinkit
- 从零开始创建一个自动化管道. 使用Terraform在Cloudflare和Amazon Route 53中创建DNS条目,并提供故障转移选项,以便轻松切换到任何一个DNS提供商.
- 创建了一个左移的GitHub bot,使安全性更接近开发人员的工作流程. 扫描安全问题,比如硬编码的秘密. 设置模块化代码,便于团队成员进行添加.
- 与DB和GitHub集成的Vault,以便用户可以根据其GitHub团队为数据库生成临时凭据.
- 与多个团队合作,将Amazon Cognito与遗留api集成. 使用基于OAuth和otp的工作流提供了更好的身份验证工作流.
- 集成了一个OAuth代理,用于Google工作空间的身份验证,并符合我们的一些内部应用程序.
- 管理一个自托管的公共漏洞赏金计划, 与团队一起完成这些发现并维护SLA.
DevOps Intern
Innovaccer
- 将健康检查集成到应用程序中,这些应用程序的指标进一步填充在Kibana仪表板上,以便于管理服务.
- 基巴纳仪表板上的跟踪指标和自动报警系统. 集成Slack webhook,用于特定渠道的警报.
- 创建了一个带有webhook的通用Slackbot,供组织中的任何团队使用.
Experience
统一支付接口(UPI)侦查命令行接口(CLI)
http://github.com/LuD1161/upi-recon-cli1. 与手机号码相关联的UPI ID和名称
2. 与Gmail帐户相关联的UPI ID和名称
3. 与车辆登记号码相关联的UPI ID和名称.
我确保利用与FASTag关联的UPI ID.
自动遵从作为代码框架
http://www.gojek.io/blog/compliance-as-code该框架主动检查了350多个活动项目,不包括sys-项目.
Firewall rules > 4000.
Storage buckets > 1000.
扫描的所有指标被发送到ELK堆栈,并与Kibana仪表板一起显示,以便更容易地做出指标驱动的决策.
I also created automated ticketing based on these checks; if there was a new finding, 框架在各自团队的Jira队列上创建门票.
该框架是模块化的,因此工程师可以编写自己的检查,并在整个检查集运行时安排它们运行. 或者他们也可以将其标记为只在特定的GCP项目上运行.
OmniSec App
数据库建立在Firebase和Cloud Functions上,每15分钟填充一次数据库. 前端是基于Flutter框架构建的.
它从30个来源(RSS订阅和网络抓取)收集新闻文章,每15分钟整理一个独特的文章列表.
顶级CTF玩家和Bug赏金研究员
http://aseemshrey.in/blogApart from CTFs, 我曾报告过安全漏洞,并获得了谷歌(Google)等顶级公司颁发的类似奖项, Myntra, IBM, Sony, GM, MakeMyTrip, Zoho, etc.
在印度政府的DigiLocker计划中发现了一个严重的错误(名人堂- http://developers).digitallocker.gov.in/credits-community-contribution.html)
在印度政府组织的DRDO CTF中排名前十(http://blog).mygov.在/ result-announcement-of-drdo-cyber-challenge / #: ~:文本= Pushpender % 20 yadav -,Aseem%20Shrey,-Abhishek%20Acharya).
DNS as Code
这有助于我们的左移方法,减少手动错误并改善开发人员体验.
G-Shield Security Bot
GoSecCon -安全会议组织者[传福音]
http://www.gojek.io/blog/hacks-and-tips-to-deploy-ctfd-in-k8sCTF平台托管在Kubernetes上,并使用CTFd作为开源的CTF平台.
挑战是由我和我的队友创造的. 这包括web应用程序的挑战, digital forensic challenges, steganography challenges, 易受攻击的Android应用挑战, etc.
Skills
Languages
Python, YAML, Go, HTML, JavaScript, Dart
Tools
Google Webmaster Tools, OWASP Zed Attack Proxy (ZAP), Terraform, Jira, Confluence, Chef, AWS CloudFormation, Amazon Athena, GitHub, Vault, Ansible, Figma, GitLab, GitLab CI/CD, ELK (Elastic Stack), Jenkins, Celery, SonarQube, Google Kubernetes Engine (GKE), Puppet, Docker Swarm, Amazon EKS, Amazon Virtual Private Cloud (VPC)
Paradigms
Automation, Penetration Testing, DevSecOps, Azure DevOps, DevOps, Continuous Integration (CI), Continuous Deployment
Platforms
Kali Linux, Burp Suite, Azure, Amazon Web Services (AWS), AWS Lambda, Android, Google Cloud Platform (GCP), Vanta, Linux, Web, Firebase, Docker, Kubernetes, iOS
Industry Expertise
Cybersecurity
Storage
Amazon S3 (AWS S3)、Azure云服务、数据湖、数据库安全
Other
OWASP Top 10, Web Security, Ethical Hacking, Security, Training, IT Security, Security Testing, 静态应用安全测试(SAST), OWASP, Mobile Security, Authentication, Vulnerability Identification, Cloud, APIs, Risk Management, SaaS, Scraping, Data-level Security, Cloud Security, OAuth, 入侵防御系统(IPS), Amazon API Gateway, API Gateways, Amazon RDS, Vulnerability Assessment, Security Analysis, Threat Modeling, Application Security, NIST, Identity & Access Management (IAM), Single Sign-on (SSO), Cloud Architecture, Security Architecture, Information Security, Infrastructure Security, Endpoint Security, Cloud Infrastructure, Azure Cloud Security, GitHub Actions, SOC 2, Red Teaming, 动态应用安全测试(DAST), Data Protection, Architecture, Data Privacy, Privacy, 托管安全服务提供商(MSSP), eCommerce, Network Architecture, 端点检测和响应(EDR), Networking, Web Development, Cloudflare, Design, Web App Security, English, Physics, IT Automation, Job Schedulers, Burp Proxy, Version Control Systems, Organization, Teamwork, Product Evangelism, Tech Conferences, SIEM, Bugcrowd, Infrastructure as Code (IaC), Vulnerability Management, CI/CD Pipelines, Web Application Firewall (WAF), Secure Containers, Secure Access Service Edge (SASE)
Libraries/APIs
OpenID, GitHub API, React, Jira REST API
Frameworks
Flutter, React Native
Education
计算机科学学士学位
印度信息技术学院-阿拉哈巴德,印度
高中物理、化学、数学文凭
Delhi Public School - Delhi, India
How to Work with Toptal
在数小时内,而不是数周或数月,我们的网络将为您直接匹配全球行业专家.
Share your needs
Choose your talent
Start your risk-free talent trial
Top talent is in high demand.
Start hiring