Zhiyuan CAI

Passionné de cybersécurité depuis mes 15 ans, j’ai accumulé une expérience solide à travers des centaines de projets de tests d’intrusion. Fondateur de Hack Inn, la plus grande communauté de partage sur la sécurité en Chine, avec des dizaines de milliers d’abonnés, et créateur du Packer-Fuzzer, un outil open-source comptant 2,7k étoiles sur GitHub, adopté par plus de 200 entreprises chinoises pour leurs tests d'intrusion internes.

Au sein de DBAPP Security, j’ai principalement travaillé sur la sécurité financière, menant des tests d’intrusion sur des projets financiers. J’ai réussi à contourner les mécanismes de chiffrement et de défense de plus de 50 applications bancaires mobiles, découvrant des bugs critiques et recevant des retours élogieux des clients.

Par ailleurs, j’ai été conférencier pour le forum de sécurité le plus important de Chine, KANXUE, et participant au concours de piratage GeekPWN, où j’ai réussi à pirater un module de retrait d’argent d’un ATM. 

Je possède une solide expérience en tests d’intrusion sur les applications Web et mobiles. De plus, je suis actuellement classé 36e sur la plateforme de Bug Bounty YesWeHack, ce qui reflète mon engagement constant à perfectionner mes compétences.

Après avoir rejoint YesWeHack (ID: pocsir), j’ai réussi à atteindre le rang de 36e Bug Hunter en moins d’un an. J’ai obtenu la 1ère place dans les projets Dior, LOUIS VUITTON et GIVENCHY pour LVMH, ainsi que la 1ère et la 2ème place dans les projets Olympique et Solidarité de la RATP. De plus, j’ai décroché la 2ème place dans le projet DOCTOLIB et la 1ère place dans le projet EDENRED, entre autres excellents classements.

Grâce à ma vaste expérience en pentest, j’ai identifié de nombreuses surfaces d’attaque cachées dans ces projets et réalisé l’audit des systèmes développés sur mesure, découvrant plusieurs 0days qui m’ont permis de mener des intrusions approfondies. J’ai produit 75 rapports de bugs critiques ou supérieures, dont 11 classés CVSS 10, couvrant des failles telles que des injections SQL, RCE, Path Traversal, Webshell, SSRF etc.