岗位职责

1. 主导安全评估： 独立执行对Web应用、移动App（Android/iOS）、网络系统、云基础设施的渗透测试与红队评估。

2. 模拟高级威胁： 参与红队行动，针对公司核心业务和内部网络，进行模拟攻击，以检验整体防御体系的有效性。

3. 漏洞挖掘与研究： 深入挖掘各类系统（包括但不限于业务系统、办公系统、IoT设备）中的安全漏洞，并进行原理分析与验证。

4. 编写技术报告： 产出专业、详尽的渗透测试报告，清晰描述漏洞原理、攻击路径及实际影响，并提供切实可行的修复建议。

5. 工具与流程建设：参与内部自动化渗透工具、武器库和红队基础设施的研发与优化，提升团队作战效率。

6. 安全能力赋能：为研发团队、安全运营团队提供技术培训，分享攻击手法与防御思路，推动安全左移。

任职要求

1. 经验： 拥有2年以上渗透测试或红队实战经验，具备独立完成复杂渗透任务的能力。

2. 技术功底：

精通OWASP Top 10 Web漏洞原理、利用及防御方案。

熟练掌握内网渗透技术（如横向移动、权限提升、域渗透等）。

熟悉TCP/IP协议栈，具备扎实的网络知识。

至少熟练掌握一门编程/脚本语言（如 Python、Go、Java、C/C++）。

3. 工具掌握： 熟练使用Burp Suite、Metasploit、Cobalt Strike、Nmap等主流安全测试工具，并理解其工作原理。

4. 思维与报告： 具备强烈的攻击者思维，能够从攻击者视角系统性思考问题，并具备优秀的报告撰写与沟通能力。

5. 职业素养： 具备良好的职业道德，对网络安全抱有极高热情，并严格遵守安全测试规范与法律法规。

6. 有CISP-PTE证书。