高级渗透人员能力说明:
web渗透基础知识:考察人员对web渗透测试基础知识,如渗透测试思路,渗透测试工具使用熟练度,OWSAP TOP10 基础漏洞原理(sql注入、XSS、文件上传、越权、未授权漏洞、命令执行、SSRF等)以及修复建议。全部招采人员必须满足该项条件。
漏洞挖掘经验:
(1)高级&中级人员需要具备一定的挖掘漏洞经验,如在渗透测试项目或者SRC挖掘提交过包括不限于OWSAP TOP10 基础漏洞、反序列化漏洞、1day公开漏洞。能够在面试中详细说明是如何找到漏洞、如何触发证明漏洞存在。
漏洞复现能力:
(1)高级人员需有复现过近1-2年内的经典漏洞或其他高危漏洞。如shiro反序列化,fastjson反序列化,spring RCE。熟悉其漏洞原理,能够在0day公布后一定时间内复现漏洞,写出相应POC或修改其他人POC。
业务逻辑漏洞挖掘经验:
(1)高级人员需要了解一定黑灰产作案思路,例如了解扫号、撞库、虚拟机注册、优惠活动秒杀等业务安全相关知识。
Python语言能力
(1)高级人员需要具有自行编码POC或修改其他人POC的能力;能够根据需求编写Python脚本,熟悉Python常用库的使用,熟悉正则,熟悉ES或其他数据库的使用。(例如从数据库中海量数据中提取指定字段操作数据、能够使用Python脚本实现半自动化/自动化处理测试)
代码审计能力
(1)高级人员需要具备一定代码审计能力,熟悉Java语言,能够从代码的角度说清漏洞原理。如sql注入发生的原因,以及在代码里如何修复。在项目中有一定漏洞审计经验,说明发现漏洞类型,函数调用链关系。
工作经验: 5 年及以上
学历要求: 大专及以上
温馨提示:为了避免您上当受骗,请不要向招聘方缴纳任何费用!