职位描述
工作职责:
1. 漏洞挖掘与分析:针对 Web、移动端、服务器、二进制程序、浏览器等进行漏洞挖掘、分析及利用,研究 0day/Nday 漏洞;
2. 代码审计:对复杂项目代码进行安全审查,发现逻辑漏洞、内存安全漏洞等,并提供修复建议;
3. 二进制安全研究:分析操作系统、浏览器、内核、IoT 设备等的二进制漏洞,并研究缓解方案;
4. 安全工具开发:开发自动化漏洞挖掘、Fuzzing、逆向分析等工具,提高研究效率;
5. 前沿技术跟踪:持续研究最新的安全漏洞、攻击技巧和防御策略,保持技术领先优势;
6. 安全报告与文档撰写:撰写漏洞分析报告、研究论文、安全最佳实践文档,并能向技术和非技术人员传达安全风险。
工作要求:
1. 教育背景:计算机科学、网络安全、信息安全或相关领域的本科学位及以上;
2. 安全研究经验:具备丰富的安全领域知识,拥有真实漏洞挖掘与利用经验,能够解决高级安全问题;
3. 编程技能:熟练掌握 C/C++、Go、Java、Python、PHP 或其他主流编程语言,能够深入分析复杂的源代码及二进制代码;
4. 代码审计能力:能够进行静态/动态代码审计,识别高级漏洞,如内存管理漏洞(UAF、堆溢出等)、Web 安全漏洞(SQL 注入、RCE、SSRF 等);
5. 逆向工程:熟悉反汇编和调试分析工具(如 IDA Pro、WinDbg、Ghidra、Radare2、OD 等),能够熟练阅读和理解反汇编代码;
6. 高级安全测试工具:精通 Fuzzing(AFL、LibFuzzer、Honggfuzz)、符号执行(Angr、Triton)、漏洞利用开发(ROP、Heap Spraying)等高级安全技术;
系统安全评估:对 Windows/Linux/浏览器内核安全有深入理解,能够分析漏洞成因,并提供高效的防御方案。
7. CTF 及安全竞赛经验:具备 CTF 竞赛经验,能够独立开发安全工具或 Exploit 代码。
