外网渗透工程师(ExternalPenetrationTester)我们正在寻找一位具备深厚安全知识和技术能力的外网渗透工程师,以模拟真实攻击场景,发现并修复互联网暴露资产的安全漏洞。该职位侧重于信息收集、资产发现、漏洞利用及协议分析,是企业红队和攻防演练的关键角色。岗位职责:-针对互联网暴露资产(如Web应用、API、服务器等)进行攻击模拟,发现安全漏洞并提供修复建议。-使用子域名枚举、IP段扫描、CDN识别、端口扫描、Web指纹识别等技术进行信息收集和资产发现。-熟练使用BurpSuite、SQLmap、Xray、AWVS等工具进行Web渗透测试,手工挖掘漏洞。-利用Metasploit、Nuclei、CobaltStrike等工具进行漏洞利用,编写自定义Exploit。-分析网络通信流量,掌握Wireshark、tcpdump等工具,进行协议分析。-熟悉Linux/Windows权限提升手法,利用已知漏洞进行提权。任职要求:-技术技能-熟悉OWASPTop10、CWE、NIST等安全框架。-了解Web安全漏洞(SQL注入、XSS、CSRF、SSRF、RCE等)。-熟悉常见Web框架安全机制(如Spring、Django、Express、Laravel)。-了解公有云安全(AWS、Azure、GCP等)。-熟练使用Shodan、Censys、FOFA、ZoomEye等工具进行OSINT。-掌握Python、Go、Shell等编程语言,能够编写自动化漏洞检测工具。-了解JS反混淆、前端安全机制,能绕过WAF、验证码、CORS等防御手段。-熟悉API渗透测试,能够分析GraphQL、RESTful、gRPC等API接口的安全性。-工作经验-1-3年外网渗透测试、安全评估相关经验。-有实际的渗透案例,如成功获取Shell、突破安全防御的能力。-参与过红队演练、APT模拟攻击、漏洞挖掘项目者优先。-教育背景-计算机科学、网络安全、信息安全等相关专业本科及以上学历。-拥有OSCP、OSWE、CISSP、CEH等安全证书者优先。-软技能-逻辑思维清晰,能够独立分析和利用漏洞。-具备良好的文档撰写能力,能够编写详细的渗透测试报告。-关注安全行业动态,持续学习新漏洞和攻击技术。加分项:-在HackerOne、漏洞盒子、乌云(WooYun)、CVE提交过高危漏洞。-具备0day、1day漏洞挖掘能力,能独立编写Exploit。-在黑客大会(BlackHat、DEFCON、Pwn2Own)发表过研究成果。-具备APT攻击模拟经验,能熟练使用CobaltStrike、Empire等工具。加入我们,共同提升企业的网络安全防护水平!
联系我时,请说是在58同城上看到的,谢谢!