高级渗透测试工程师

岗位职责
1，负责公司及客户的核心业务系统进行渗透测试（黑盒/白盒）和安全评估。
2，针对目标应用，能够逐包分析通信数据，结合手工测试与自动化工具进行漏洞挖掘。
3，开展fuzz测试，探索协议实现和输入处理中的安全问题。
4，深入开展白盒测试：阅读Java/PHP等代码，发现逻辑漏洞与安全缺陷。
5，对Java组件漏洞、反序列化漏洞等专项安全问题进行研究与利用验证。
6，建立并优化资产发现与测绘流程，对外部资产进行全面安全评估。
7，撰写测试报告，提出修复与加固建议，并与研发团队协作落地。
8，跟踪最新的安全漏洞、攻击手法和安全趋势，形成可落地的测试方案。

任职要求
1，3-5年以上渗透测试经验，熟练掌握黑盒与白盒测试方法论。
2，能熟练使用BurpSuite、Wireshark等工具进行逐包分析。
3，对fuzz测试有实践经验，能够针对Web/API/协议进行定制化测试。
4，熟悉Java/PHP/JavaScript等代码，可独立进行代码审计，发现深层次安全问题。
5，对Java组件漏洞（Fastjson、Shiro、Log4j等）、反序列化攻击有深入研究。
6，熟悉常见资产发现方法，有一定的安全测绘和信息收集经验。
7，掌握OWASPTop10/CWE/SANS25，具备手工挖掘复杂漏洞的能力。
8，熟悉常见安全测试工具（BurpSuite、Nmap、Metasploit、KaliLinux等），具备编写自动化测试脚本的能力（Python/Go/Shell等）。
9，具备良好的安全研究习惯，耐心细致，能对目标长期持续跟进挖掘。

加分项
有大型互联网、金融、区块链等行业的渗透测试经验。
有公开漏洞提交、CVE编号、安全研究成果或CTF获奖经历。
有OSCP、OSWE、CISP-PTE、CEH、CISSP等安全认证。
有资产测绘平台、漏洞扫描器、自研安全工具的经验。