一、web渗透测试，如渗透测试思路，渗透测试工具使用熟练度，OWSAP TOP10 基础漏洞原理（sql注入、XSS、文件上传、越权、未授权漏洞、命令执行、SSRF等）以及修复建议。

二、具备挖掘漏洞经验，如在渗透测试项目或者SRC挖掘提交过包括不限于OWSAP TOP10 基础漏洞、反序列化漏洞、1day公开漏洞。能够在面试中详细说明是如何找到漏洞、如何触发证明漏洞存在。

三、需有复现过近1-2年内的经典漏洞或其他高危漏洞。如shiro反序列化，fastjson反序列化，spring RCE。熟悉其漏洞原理，能够在0day公布后一定时间内复现漏洞，写出相应POC或修改其他人POC。

四、高级人员需要了解一定黑灰产作案思路，例如了解扫号、撞库、虚拟机注册、优惠活动秒杀等业务安全相关知识。

高级人员需要具有自行编码POC或修改其他人POC的能力；能够根据需求编写Python脚本，熟悉Python常用库的使用，熟悉正则，熟悉ES或其他数据库的使用。（例如从数据库中海量数据中提取指定字段操作数据、能够使用Python脚本实现半自动化/自动化处理测试