一、学历与专业
• 学历：本科及以上。
• 专业：计算机、网络安全、信息安全等相关专业优先，技术突出者可放宽。
二、工作经验
• 2年以上工作经验。
三、核心技能清单
渗透流程：可独立制定方案 → 执行 → 出具报告 → 讲解修复。
工具：Burp Suite、Nmap、Metasploit、SQLmap、AWVS、Nessus、Cobalt Strike 等。
漏洞原理与利用：OWASP Top10、SQL 注入、XSS、CSRF、文件上传/包含、RCE、逻辑漏洞等。
系统与网络：熟练 Linux/Windows/Unix 及常用中间件、数据库（MySQL、Oracle、MSSQL）；理解 TCP/IP、HTTP(S) 协议。
编程/脚本：至少精通 Python/Java/PHP/Go 之一，能编写 PoC/Exp、自动化脚本或工具。
移动安全：熟悉 Android/iOS App 渗透测试流程与工具（Frida、Objection、MobSF 等）。
云与虚拟化：了解 AWS、Azure、K8s、Docker 等云环境的攻击面与测试方法。
社会工程/物理渗透：具备钓鱼、近源、RFID 绕过等经验者优先。
四、软技能
• 报告与沟通：能把技术发现转化为业务语言，向客户清晰讲解。
• 团队协作：能与红队、蓝队、研发、运维高效配合。
• 持续学习：跟进 CVE、安全会议（Black Hat、DEF CON）、社区（Freebuf、Seebug）。
五、优先/加分项
• 持有 CISSP/CISP/PTS/PTE 等信息安全证书。
• 在漏洞平台（补天、漏洞盒子、HackerOne）提交过高质量漏洞或技术文章。
• 参与 CTF 比赛并取得名次；或独立开发过安全工具/框架。
• 具备应急响应、溯源、取证经验，能快速处置 0day 攻击或勒索事件