更新于 6月4日
雇员点评标签
职位描述
工作职责要求:
1. 透测试与技术输出: 负责公司核心业务系统、移动端、API及内网环境的深度渗透测试,提供高质量的安全评估报告及加固建议。
2. 红蓝对抗演练: 策划并组织常态化的内部红蓝对抗演练,模拟真实黑客攻击路径,验证公司监控、告警及应急响应体系的有效性。
3. 漏洞全生命周期管理: 建立并优化内外部(如自建扫描、外部SRC、监管通报)漏洞管理流程,推动业务部门完成漏洞修复并进行闭环复测。
4. 前沿技术研究: 跟踪行业内最新的攻防技术、0-day 漏洞及供应链安全风险,并将其转化为内部的检测与防御能力。
5. SDLC安全开发:参与研发安全生命周期落地、建设中的一项或多项,如安全培训、安全测试、负责安全分析、威胁建模、代码审计、安全评审等。
任职资格:
1. Web & APP 安全深度挖掘:
精通 OWASP Top 10 漏洞原理及绕过技巧(如:WAF 绕过、复杂逻辑漏洞、高阶注入等)。
具备移动端(Android/iOS)逆向分析、全通信加密抓包及业务逻辑渗透经验。
2. 内网渗透与红队战术:
熟练掌握内网信息收集、横向移动(Pass-the-Hash, Kerberoasting)、域渗透(AD 攻防)及权限维持技术。
熟悉常用内网穿透与隧道技术(如:ICMP/DNS 隧道、正反向代理)。
3. 漏洞管理与治理能力
熟悉外部资产发现技术(OSINT、子域名爆破、指纹识别)及内网资产梳理方法。
熟悉 CVSS 评分标准,能结合业务背景(数据敏感度、部署环境)对漏洞进行准确的风险评级,而非机械依赖工具扫描结果。
了解等保 2.0、ISO 27001 等合规标准中关于漏洞管理的要求。
4. SDLC安全生命周期管理
了解SDLC、威胁建模及攻击面分析过程
参与过需求安全评审,了解并实践过威胁建模、软件安全架构设计
1. 透测试与技术输出: 负责公司核心业务系统、移动端、API及内网环境的深度渗透测试,提供高质量的安全评估报告及加固建议。
2. 红蓝对抗演练: 策划并组织常态化的内部红蓝对抗演练,模拟真实黑客攻击路径,验证公司监控、告警及应急响应体系的有效性。
3. 漏洞全生命周期管理: 建立并优化内外部(如自建扫描、外部SRC、监管通报)漏洞管理流程,推动业务部门完成漏洞修复并进行闭环复测。
4. 前沿技术研究: 跟踪行业内最新的攻防技术、0-day 漏洞及供应链安全风险,并将其转化为内部的检测与防御能力。
5. SDLC安全开发:参与研发安全生命周期落地、建设中的一项或多项,如安全培训、安全测试、负责安全分析、威胁建模、代码审计、安全评审等。
任职资格:
1. Web & APP 安全深度挖掘:
精通 OWASP Top 10 漏洞原理及绕过技巧(如:WAF 绕过、复杂逻辑漏洞、高阶注入等)。
具备移动端(Android/iOS)逆向分析、全通信加密抓包及业务逻辑渗透经验。
2. 内网渗透与红队战术:
熟练掌握内网信息收集、横向移动(Pass-the-Hash, Kerberoasting)、域渗透(AD 攻防)及权限维持技术。
熟悉常用内网穿透与隧道技术(如:ICMP/DNS 隧道、正反向代理)。
3. 漏洞管理与治理能力
熟悉外部资产发现技术(OSINT、子域名爆破、指纹识别)及内网资产梳理方法。
熟悉 CVSS 评分标准,能结合业务背景(数据敏感度、部署环境)对漏洞进行准确的风险评级,而非机械依赖工具扫描结果。
了解等保 2.0、ISO 27001 等合规标准中关于漏洞管理的要求。
4. SDLC安全生命周期管理
了解SDLC、威胁建模及攻击面分析过程
参与过需求安全评审,了解并实践过威胁建模、软件安全架构设计
工作地点
上海市浦东新区上丰路1288号2号楼4号门
公司信息
深圳平安融易投资咨询有限公司
不需要融资 · 10000人以上 · 咨询服务、投资与资产管理
已审核
公司介绍
平安融易是中国平安集团旗下陆金所控股的融资服务品牌,专注于为小微企业主、个体经营者及个人提供融资服务。秉持“专业,让融资更容易”的使命,以科技驱动创新,以服务赢得信赖,赋能合作金融机构提质增效,助力客户成长,助推普惠金融高质量发展。 依托强大的金融实力与科技赋能,平安融易运用智能风控、大数据分析等领先金融科技,为小微企业主、个体经营者及个人提供精准、便捷的融资解决方案。同时,注重线下服务的深度与温度,通过专业的服务团队,为客户提供面对面的融资咨询服务,切实满足其多样化的金融需求。
工商信息
企业名称 深圳平安融易投资咨询有限公司
企业类型 有限责任公司(自然人投资或控股的法人独资)
法人代表 刘进
经营状态 存续
成立时间 2005-09-05
注册资本 12.51亿元
认证资质
营业执照信息
