1、按需对授权网站、业务系统进行渗透测试;
2、对安全事件进行响应,清理后门,根据日志分析攻击途径;
3、跟踪最新漏洞信息,进行业务产品的安全检查;
4、安全技术研究,包括安全防范技术,黑客技术等;
5、日常安全服务(漏洞扫描、安全基线检查/加固、流量分析等)。
任职资格:
1、计算机、软件工程、信息安全等相关专业,本科及以上学历;
2、 熟悉渗透测试的步骤、方法、流程,具有Web安全实战经验。熟练掌握国内外主流工具,如BurpSuite、AWVS、Nmap、Nessus、Metasploit、Kali、AppScan、SqlMap、Cobalt Strike和Wireshark等;
3、可独立完成Web/APP/小程序安全测试,熟悉OWASP TOP 10,精通Web渗透测试技术、攻击方法、手工检测及防御方法,对Web安全整体有深刻理解,具备独立漏洞挖掘能力,能够挖掘常见漏洞,包括:SQL注入、XSS、SSRF、文件上传、命令执行、文件包含、CSRF、XXE、Jsonp劫持等;
4、能对攻击流量进行研判分析,判断攻击路径、追溯攻击者等
5、熟悉windows、linux等操作系统、Mysql/oracle、Redis等数据库,Nginx、tomcat等中间件的安全配置与安全检查;
6、至少了解一门编程语言C/C++/Perl/Python/PHP/Go/Java等;
7、有大型CTF比赛有获奖经历或在t00ls、freebuf、Seebug、exploit-db.com等站点发布过文章或独立挖掘过知名开源应用/大型厂商高危漏洞;
8、诚信,责任心强,具有较强的团队意识与良好的沟通能力。