信息安全

岗位职责
1、负责公司安全测试工作，独立开展渗透测试、Web安全测试、主机安全测试、接口安全测试等工作，输出专业、完整的安全测试报告，精准挖掘系统漏洞、业务逻辑漏洞、权限绕过、代码执行等各类安全风险。
2、具备实战化攻防对抗能力，支撑企业日常安全攻防、国内重要攻防演练、应急对抗等场景工作。
3、跟踪国内外最新安全漏洞、攻防技术趋势，对突发高危漏洞进行验证、研判与复盘，结合企业业务场景梳理风险点，提供漏洞修复方案、安全加固建议，协助业务团队完成漏洞整改闭环。
4、负责企业资产安全梳理、安全基线核查、风险评估工作，定期开展安全巡检，排查网络、服务器、应用系统、数据库等软硬件安全隐患，建立常态化安全风险防控机制。
5、配合完成各类安全应急响应工作，针对网络攻击、入侵行为、数据泄露等安全事件，开展溯源分析、应急处置、事后复盘整改，输出应急处置报告。
6、沉淀攻防实战经验，整理漏洞知识库、攻防工具库、渗透测试规范，优化安全测试流程，提升团队整体安全防护与攻防检测能力。
任职要求
1、5年及以上信息安全相关工作经验，拥有扎实的攻防实战功底，有常态化渗透测试、红蓝对抗、国内重要攻防演练实战经验者优先。
2、精通Web安全原理，熟练掌握SQL注入、XSS跨站、CSRF、文件上传、代码执行、反序列化、权限绕过、业务逻辑漏洞等常见漏洞的挖掘、利用与修复方法，具备丰富的实战挖掘案例。
3、熟练开展外网渗透、内网渗透、域渗透、横向移动、权限提升等全套攻防操作，熟悉Windows、Linux服务器安全攻防，掌握主流渗透工具及框架的使用与原理。
4、熟悉TCP/IP网络协议、主流网络架构，了解防火墙、WAF、IPS、堡垒机等安全设备工作原理，具备绕过常规安全防护策略的实战能力。
5、熟悉Python/Go/Shell任意一种脚本语言，能够独立编写漏洞检测、批量扫描、简单攻防工具，可自主分析POC、EXP，具备漏洞复现与二次利用能力。
6、具备独立输出专业渗透测试报告、风险评估报告、应急处置报告的能力，逻辑清晰、问题定位精准，整改建议落地性强。
7、持有CISSP、CEH、CISP-PTE、OSCP等主流安全认证优先录用。
8、具备良好的安全敏感度、问题排查能力和抗压能力，工作严谨负责，有良好的沟通协作能力和团队意识，无违规渗透、非法攻防等不良从业记录。