Back to search
深圳市紫川软件有限公司 Linkedin · Posted 1mo ago

安全渗透测试工程师

Shenzhen

Linkedin
Continue to application Add your email once, then Caio opens the original posting.

Indexed description

职位来源于智联招聘。

web安全测试:

1、遍历web页面,结合业务流程、数据走向分析可能存在XSS注入,SQL注入,CSRF注入等web漏洞的地方,通过buipsuite等辅助工具,抓取、请求报文,篡改报文,进行重放,验证各种漏洞是否真实存在;

2、收集业务所涉及的API接口,分析身份验证所使用的参数,通过修改该参数,来进行接口认证、纵向越权、横向越权等相关测试,发现应用所存在的越权风险;

3、会话管理测试,遍历web页面,观察报文、cookie以及报错信息中是否有暴露敏感数据的风险,分析会话标识的生成以及使用过程是否可能被泄露、篡改或者仿冒,分析客户端与服务端进行数据交互的过程是否安全可靠等

linux系统安全测试:

1、关注服务器所在系统的安全,例如通过nmap或openssl测试通信所过程使用的证书是否使用安全的签名算法,协商过程所配置的加密套件是否包含不安全加密算法;

2、检查系统开放的端口是否为业务必须,确保不存在未公开端口,检查各个端口是否使用安全的传输通道以及所使用的通信协议;

3、检查系统所使用的web容器的相关配置是否符合安全要求,如tomcat容器中所配置的加密套件、开放的端口和其他配置等;

4、测试系统配置的脚本、定时任务是否存在sudo越权的风险;

5、使用SecureCAT、nesuss等安全工具测试系统存在的漏洞并提交修复建议等

以担保或任何理由索要财物,扣押证照,均涉嫌违法。

Free. 20 seconds. No password. See every match in this search.

Create a free Caio profile to unlock more results and save your role and location preferences.

Unlock free search
Want help applying to roles like this? Search Caio for free. If CV tailoring and application tracking get heavy, Full Caio Agent adds a human specialist.
View Full Agent