安全渗透工程师

招聘岗位：安全渗透工程师
薪资待遇：8-11k
人数：8人
工作地点：北京
在系统上线前通过安全漏洞扫描、安全配置检查、安全渗透测试和代码安全审计等方式对系统安全状况进行检查，保证系统在上线前发现和消除安全隐患。测试之后编制报告，提供安全建议等。
测试目标系统：各类Web应用系统、微信公众号、小程序、手机APP（IOS、Android等）、IOT设备等。
测试范围包含但不限于：
1、信息泄露/明文传输（密码明文传输、用户信息泄露、服务器信息泄露、其它信息泄露等）；
2、注入（SQL注入、XML注入、命令注入、其它注入等）；
3、XSS（存储型跨站脚本编制、反射型跨站脚本编制、DOM型跨站脚本编制等）；
4、逻辑漏洞（支付漏洞、逻辑绕过、密码重置、任意注册、任意登录、短信轰炸、请求重放等）；
5、权限控制缺失（水平越权、垂直越权、未授权访问、目录遍历、跨域劫持等）；
6、认证缺陷（验证码功能缺陷、暴力破解、多点认证缺陷、会话固定等）；
7、防护功能缺失（会话重用、会话失效时间过长、Cookie安全属性缺失等）；
8、文件操作（文件上传、文件下载、文件包含等）；
9、其它（中间件/框架漏洞、SSRF、CSRF、URL重定向、Token在url中传输、未统一定义的错误页面、jQuery版本过低、不安全的HTTP方法等）