岗位描述
HC2:红队渗透高级工程师(需4月入职)
职位描述
岗位职责:
一、安全测试
1、安全攻防,建立安全攻防体系,确立攻防方法,范围,周期等,建立内部攻防测试与外部攻防验证的双重检验机制,跟进落实攻防结果及缺陷及漏洞改进,形成过程文档与结果报告;
2、漏扫/渗透测试,跟进内部周期性与按需的漏洞扫描与渗透测试计划,针对网络,应用,数据,办公等环境和内容进行漏扫及渗透测试,发现弱点及漏洞,跟进对应单元的漏洞修复,形成过程文档与结果报告;
3、社会工程,拟定和执行基于邮件、SMS、WhatsApp、线下等多种渠道的社工渗透测试演练和攻击,测试和验证安全意识与人员安全水准;
4、漏洞计划,按需建立和跟进外部漏洞奖励计划,根据重大版本变更或新产品上线的需求进行外部漏洞奖励计划,借助外部力量完成弱点发现和跟进漏洞修复,形成过程文档与结果报告;
二、安全事件响应&分析&分享
1、定期总结分析的重大内部安全事件,通告,跟进措施落实(如有);
2、定期外部安全事件分析,分享,learn practice。
任职要求:
1、统招全日制本科, 3年以上渗透或漏洞挖掘经验、具备良好的沟通能力;
2、熟练掌握各种渗透测试工具并且对其原理有深入了解(不仅限于 Burpsuite、MSF、CobaltStrike 等内网穿透、权限维持工具);
3、熟悉渗透测试(OWASP top10漏洞)、常见组件(大数据组件、中间件、zabbix、elasticsearch等等)及其他应用公开漏洞;
4、至少掌握一门开发语言,操作语言不限 C/C++、Golang、Python、Java 均可;
5、了解Web3行业,熟悉solidity语言,知悉智能合约常见漏洞测试验证
6、能从防御者或者运维人员的角度思考攻防问题,对后渗透有深入了解者更佳。
加分项:
1. 具备渗透金融或在线交易类型系统Web和App目标的经验;
2. 熟悉或者具备Web3 Smart Contract渗透测试经验;
3. 具有CTF比赛、网络攻防竞赛经验,取得过较好名次优先;
4. 在知名信息安全站点发布过高质量技术文章。