职位描述
描述
可以独立的进行 web 应用程序及其相应基础设施进行漏洞评估、渗透测试、安全代码审查和安全架构审查
工作内容
- 针对关键更改执行威胁建模练习。
- 静态和动态代码测试( code review 、手动渗透测试等)
- 复杂 web 应用程序和全局 API 中的漏洞评估
- 在开发和运营生命周期中嵌入安全性
- 软件开发过程中使用的安全工具集的实施、维护和管理。
岗位要求
要求熟悉或具备下列技术:(不用每一条都会,大部分即可)
- SQL 注入( SQLi )
- XML 外部实体( XEE )
- 服务器端请求伪造( SSRF )
- 反序列化和对象注入
- OSINT 被动和主动侦察
- 有效载荷开发
- 特权提升
- 远程代码执行( RCE )
- 跨站点脚本( CSS )
- 跨站点请求伪造( CSRF )
- 攻击计划和执行(利用面向公众的服务、社会工程等)
