安全技术工程师
Indexed description
用微信扫描二维码
可分享职位给微信好友或朋友圈
陆控-科技中心
城市: 上海市 经验要求: 1年 招聘人数: 1人 7天前
岗位职责:
- 1. 透测试与技术输出: 负责公司核心业务系统、移动端、API及内网环境的深度渗透测试,提供高质量的安全评估报告及加固建议。
- 2. 红蓝对抗演练: 策划并组织常态化的内部红蓝对抗演练,模拟真实黑客攻击路径,验证公司监控、告警及应急响应体系的有效性。
- 3. 漏洞全生命周期管理: 建立并优化内外部(如自建扫描、外部SRC、监管通报)漏洞管理流程,推动业务部门完成漏洞修复并进行闭环复测。
- 4. 前沿技术研究: 跟踪行业内最新的攻防技术、0-day 漏洞及供应链安全风险,并将其转化为内部的检测与防御能力。
- 5. SDLC安全开发:参与研发安全生命周期落地、建设中的一项或多项,如安全培训、安全测试、负责安全分析、威胁建模、代码审计、安全评审等。
- 1. Web & APP 安全深度挖掘:
- 精通 OWASP Top 10 漏洞原理及绕过技巧(如:WAF 绕过、复杂逻辑漏洞、高阶注入等)。
- 具备移动端(Android/iOS)逆向分析、全通信加密抓包及业务逻辑渗透经验。
- 2. 内网渗透与红队战术:
- 熟练掌握内网信息收集、横向移动(Pass-the-Hash, Kerberoasting)、域渗透(AD 攻防)及权限维持技术。
- 熟悉常用内网穿透与隧道技术(如:ICMP/DNS 隧道、正反向代理)。
- 3. 漏洞管理与治理能力
- 熟悉外部资产发现技术(OSINT、子域名爆破、指纹识别)及内网资产梳理方法。
- 熟悉 CVSS 评分标准,能结合业务背景(数据敏感度、部署环境)对漏洞进行准确的风险评级,而非机械依赖工具扫描结果。
- 了解等保 2.0、ISO 27001 等合规标准中关于漏洞管理的要求。
- 4. SDLC安全生命周期管理
- 了解SDLC、威胁建模及攻击面分析过程
- 参与过需求安全评审,了解并实践过威胁建模、软件安全架构设计
收藏职位
Create a free Caio profile to unlock more results and save your role and location preferences.
Unlock free search