职位描述
岗位职责:
1、负责移动端APP(Android/iOS)和Web服务应用类产品渗透性测试,通过灰盒和黑盒方式进行安全测试工作,提交安全测试报告。
2、能对常见的漏洞原因、原理、可利用性、风险程度,如SQL注入,XSS,CSRF,命令执行,文件包含,任意文件下载读取,文件上传,越权等操作,制定开发安全规范文档。
3、跟进了解国内外最新的应用安全漏洞情况,对报告的漏洞进行分析验证与风险评估,即时进行安全漏洞通报。
4、负责对运维人员和开发人员进行安全技术类的培训工作。
5、参与研发自动化安全测试渗透和扫描检测工具研究 。
6、参与SDLC(开发安全)和应急响应流程建设和突发攻击事件的应急响应。
任职要求:
1、熟悉系统、网络和常见Web安全漏洞分析与防范策略,熟悉理解OWASP的Top10漏洞原理和安全风险。
2、具有3 年(优秀2年)以上实际java、PHP等语言漏洞挖掘经验, 精通常见Web和移动端APP(Android/iOS)攻击和防御方法。
3、熟悉C、C++、Java、PHP、Python中至少一种程序开发语言。
4、熟悉常见安全攻防技术和安全漏洞,熟练操作国内外主流漏洞检测工具,如:burp、AWVS、Nmap、Nessus、Openvas、Metasploit、kali等 。
5、编写过python、shell或其他常用语言安全脚本。
加分项
1、具有医疗行业安全经验优先。
2、在各漏洞平台上报过漏洞者、GitHub 有过多星项目者、发表过科研技术论文者予以加分。