描述

可以独立的进行 web 应用程序及其相应基础设施进行漏洞评估、渗透测试、安全代码审查和安全架构审查

工作内容

1. 针对关键更改执行威胁建模练习。
2. 静态和动态代码测试（ code review 、手动渗透测试等）
3. 复杂 web 应用程序和全局 API 中的漏洞评估
4. 在开发和运营生命周期中嵌入安全性
5. 软件开发过程中使用的安全工具集的实施、维护和管理。

岗位要求

要求熟悉或具备下列技术：（不用每一条都会，大部分即可）

1. SQL 注入（ SQLi ）
2. XML 外部实体（ XEE ）
3. 服务器端请求伪造（ SSRF ）
4. 反序列化和对象注入
5. OSINT 被动和主动侦察
6. 有效载荷开发
7. 特权提升
8. 远程代码执行（ RCE ）
9. 跨站点脚本（ CSS ）
10. 跨站点请求伪造（ CSRF ）
11. 攻击计划和执行（利用面向公众的服务、社会工程等）