职位详情

岗位职责

从红蓝对抗的角度，基于具体的业务场景，研究场景攻击手法，将研究成果形成知识图谱以及输出到产品线形成防御方案，提升产品的安全效果，具体包括但不限于： 1、web业务场景的攻击手法研究，比如： 登录注册场景、密码重置场景、订单支付场景、个人信息场景、文件上传场景、通用漏洞研究、组件漏洞研究等。 2、主机场景的攻击手法研究，比如： 权限提升场景、权限持久化场景、病毒免杀场景、反弹shell场景等。 3、内网横向移动的攻击手法研究，比如： 网络拓扑信息、应用服务信息、域控场景、工作组场景、等。 4、APT常见攻击手法的研究，比如： 邮件钓鱼、水坑攻击、USB恶意投递、僵尸网络组建、工具框架集等。

岗位要求

1、学习能力强，对安全有一定的了解和自己的认知； 2、有单独分析复现组件漏洞或挖掘漏洞的能力，web或者二进制； 3、有提交过SRC或者参加过CTF等赛事，获得名次的优先； 4、有渗透测试项目经验，并归纳总结过心得的优先。