岗位职责:
1. 安全评估与渗透测试
对Web应用、移动应用、网络系统、API、云环境等进行渗透测试,识别漏洞(如SQL注入、XSS、CSRF、越权等)。
使用工具(如Burp Suite、Metasploit、Nmap)或手动测试挖掘高危漏洞。
模拟APT攻击、社会工程学攻击(如钓鱼邮件)等高级威胁场景。
2. 漏洞分析与报告
编写详细的技术报告,描述漏洞原理、复现步骤、风险等级及修复建议。
协助开发团队复现漏洞,跟踪修复进度并验证修复效果。
3. 安全工具开发与优化
开发自动化脚本(Python、Bash等)提升测试效率。
定制化修改开源工具(如SQLMap、Cobalt Strike)以适应特定场景。
4. 红队协作与攻防演练
参与红蓝对抗演练,提供攻击视角的安全防御建议。
研究最新攻防技术(如零日漏洞、绕过WAF/EDR的技巧)。
任职要求:
1. 技术基础
熟悉网络协议(TCP/IP、HTTP/HTTPS、DNS)、操作系统(Linux/Windows)及常见中间件(Nginx、Tomcat)。
掌握漏洞原理及利用方式(如反序列化、SSRF、RCE、逻辑漏洞)。
2. 工具熟练度
熟练使用渗透测试工具(Burp Suite、Metasploit、Nmap、Wireshark)。
熟悉代码审计工具(Checkmarx、Fortify)或逆向工具(IDA Pro、Ghidra)。
编程能力:
至少掌握一门语言(Python、Ruby、Go)用于开发POC或自动化工具。
3. 软性能力
逻辑分析:能快速定位漏洞根源(如区分是业务逻辑漏洞还是编码缺陷)。
沟通能力:向非技术人员(如管理层)解释风险及影响。
法律意识:严格遵守授权范围,避免法律风险。