360
员工人数:1000-9999人 行业分类:互联网
工作职责
1.参与实战攻防演练及渗透测试等安全项目;
2.独立完成目标资产信息收集、攻击面梳理及攻击路径设计;
3.开展Web安全、内网渗透及横向移动等攻击行为,完成漏洞利用与权限获取;
4.参与复杂环境下的攻击链路构建(如多跳渗透、隧道搭建、权限维持等);
5.使用或改造现有工具完成自动化攻击任务,提升攻击效率;
6.对攻击过程进行复盘,总结可复用方法或技术沉淀。
任职资格
1.熟练掌握常见Web漏洞原理与利用(SQL注入、RCE、反序列化、文件上传等);
2.熟练使用主流攻防工具(Burp Suite、Nmap、Metasploit、Cobalt Strike或同类工具等);
3.熟悉信息收集与资产测绘方法,具备独立发现攻击面的能力;
4.掌握基础内网渗透技术(如域环境基础、横向移动、凭据获取等);
5.具备一定开发能力,至少掌握python/Java/Go/C一种代码能力。
加分项
1.参与过实战攻防演练项目,具备实际攻防经验,有系统化的渗透测试或内网攻防实践经验;
2.有SRC漏洞挖掘成果或公开漏洞编号;
3.熟悉内网深度渗透(横向移动、域控利用、权限维持等);
4.具备一定开发能力,自己编写过一些实战工具;
5.对大模型安全/AI攻防有实际研究或利用经验;
6.掌握基础代码审计能力(Java、.net);
7.掌握免杀对抗能力;
8.具备逆向经验。
