岗位职责:
1.测试目标确定:与客户或企业内部团队沟通,明确渗透测试的目标范围,涵盖网络架构、服务器、应用程序等,确保测试工作精准聚焦。
2.信息收集:运用多种工具与技术,收集目标系统的各类信息,像 IP 地址、域名、开放端口、应用程序版本等,为后续的漏洞探测奠定基础。
3.漏洞扫描与探测:借助专业的漏洞扫描工具,对目标系统展开全面扫描,精准识别可能存在的安全漏洞,例如常见的 SQL 注入、跨站脚本攻击(XSS)、文件上传漏洞等。同时,结合人工测试的方式,对扫描结果进行验证与补充,提升漏洞发现的准确性。
4.漏洞利用与风险评估:针对探测到的漏洞,尝试进行实际的攻击利用,评估漏洞可能造成的影响与风险程度,确定漏洞的严重级别,以便企业能够依据风险高低进行有针对性的修复。
5.报告撰写:将整个渗透测试过程、发现的漏洞详情、风险评估结果以及修复建议,整理成详细、专业的渗透测试报告,为企业的安全决策提供有力支撑。
任职要求:
1.熟练掌握多种渗透测试的步骤、方法和流程,具备漏洞挖掘、代码审计和分析能力,可以模拟恶意黑客的攻击手段,对目标系统、网络、应用程序等进行深入的安全性测试与评估;
2.熟悉漏洞扫描、渗透测试工具、常见漏洞的利用,有过独立漏洞挖掘的经验;
3.熟悉JAVA/Python/c++等一种编程语言,能够编写POC,有一定的逆向分析实践经验;
4.熟悉内网渗透及防护的常见手法,具备大型内网的安全加固、网络梳理、调查分析及应急响应能力,善于发现并防护钓鱼、木马及社会工程学攻击,能为客户提供详尽的安全报告与切实可行的修复建议;
5.对信息安全有浓厚的兴趣,主动学习,具有责任感和职业道德,无黑产从业背景;
6.有渗透测试工程师的专业认证证书者优先。