岗位职责:

1.对 Java 项目源代码进行人工+工具审计；

2.识别潜在安全漏洞；

3.编写代码审计报告，提供漏洞修复建议并与开发团队协作整改；

4.跟踪漏洞修复进展，验证修复方案的有效性；

5.对 Web 应用、API、移动端、内网系统等进行黑盒/白盒渗透测试；

6.输出渗透测试报告，明确漏洞危害并提供修复方案； 7.跟踪漏洞修复进展，验证修复效果；

职责要求：

1. 精通 Java 语言及主流框架（Spring、MyBatis、Hibernate 等），熟悉 JVM 机制，具备一定逆向分析能力，能阅读 Java 字节码或反编译代码；

2. 熟悉常见代码安全漏洞（如 SQL 注入、XSS、CSRF、SSRF、反序列化、逻辑漏洞等）及其修复方案；

3. 掌握代码审计工具（如 Fortify、Checkmarx、SonarQube、FindBugs、CodeQL 等）的使用和原理；

4. 熟悉安全编码规范（如 OWASP ASVS、CWE TOP 25）；

5. 精通渗透测试方法论（如 PTES、OSSTMM），熟悉 Web/移动端/内网渗透技术；

6. 熟悉常见漏洞原理及利用（如 OWASP Top 10、CVE 漏洞、逻辑漏洞、权限绕过等；

7. 熟练使用渗透工具（Burp Suite、Nmap、Metasploit、SQLMap、Cobalt Strike 等）；

8. 具备独立编写 PoC/Exp 的能力，能复现和验证漏洞。