招聘 | 山石网科招聘安全研究员,渗透测试工程师

阅读量    78957 | 评论 2

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

平台简介

山石网科是中国网络安全行业的技术创新领导厂商,自成立以来一直专注于网络安全领域前沿技术的创新,提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务,致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

山石网科为政府、金融、运营商、互联网、教育、医疗卫生等行业累计超过17,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心,业务已经覆盖了美洲、欧洲、东南亚、中东等50多个国家和地区。

为了攻防研究和安服业务需要,我们诚挚地向安全领域内的专业人才广发英雄帖,招募优秀的安全人才。

 

部门简介

山石安全服务部是山石网科专业从事安全攻防研究、专业化渗透测试的部门,山石网科安全服务部的神经元实验室在geekpwn,补天杯,红帽杯等安全攻防大赛中多次挑战成功夺得冠军。神经元实验室在智能硬件安全,车联网安全,云安全和虚拟化技术等领域也取得一定成果,积极布局机器学习在信息安全研究领域的应用研究等前沿技术能力。

 

工作地点

渗透岗位地点:全国省会城市

研究岗位地点:北京、上海和苏州

 

联系邮箱

有意者简历投递至:akast@hillstonenet.com(请注明来自安全客)

待遇:10-30k

 

招聘详情

渗透测试工程师

岗位职责:
1、根据项目需要,实施对授权的主机、网络和Web的渗透测试;
2、能对常见的漏洞原因、原理、可利用性、风险程度等相关分析报告,如sql注入,xss,csrf,命令执行,文件包含,任意文件下载/读取。文件上传,越权/未授权操作等漏洞。
3、提供网络安全攻防技术培训演练及应急响应工作;
4、对互联网领域的重大安全事件进行跟踪、分析;
5、对安全领域的新技术、新方法进行研究。

任职要求:

1、熟悉渗透测试的步骤、方法和流程,能够熟练运用各种手段对系统实施有效的渗透;
2、熟悉常见攻击和防御办法,熟悉web安全和渗透技术,能自行进行Web渗透测试,Web代码漏洞挖掘;
3、熟悉主流/非主流的Web安全技术,包括SQL注入,XSS,CSRF等OWASP TOP 10安全风险;
4、熟悉防火墙、IDS、IPS、漏洞扫描、渗透测试的原理及操作;
5、熟悉PHP/JavaScript/Java/Python(熟练其中一种即可),且具有一定的代码安全审计能力.
6、有CNVD、CNNVD证书或CVE编号、在各大SRC平台的优秀白帽子或CTF获奖选手优先。

 

源码审计工程师

岗位职责:

1、制定源代码安全规范,并进行源代码安全方面的审计;
2、挖掘PHP或java代码中的安全漏洞,并对漏洞进行验证,编制安全加固报告;
3、能对常见的漏洞原因、原理、可利用性、风险程度等相关分析报告,如sql注入,xss,CSRF,命令执行,文件包含,任意文件下载/读取。文件上传,越权/未授权操作等漏洞。
4、跟踪和分析业界最新安全漏洞。

任职要求:
1、1年以上安全行业工作经验,有实际的php或java漏洞挖掘经验;
2、对php、JAVA编程有较深入的了解,具有一定的编程能力,熟悉主流的php框架,如thinkphp,yii等;
3、了解采用PHP和Java等语言开发的程序中常见的代码缺陷和安全漏洞;
4、熟练掌握掌握主流的源代码审计工具,如Checkmarx CxEnterprise、Armorize CodeSecure、Fortify SCA、RIPS等;
5、熟悉常见安全攻防技术和安全漏洞,熟悉常用渗透测试工具;
6、熟悉常见Web安全漏洞分析与防范,包括SQL注入、XSS、CSRF等OWASP TOP 10安全风险;
7、熟练掌握源代码测试工具及测试流程,有源代码安全检测实战经验者或有CNVD CNNVD CVE的优先录用 。

加分项:

1、网上公布过常见php、java开源程序0day漏洞。如discuz,phpcms,ecshop等;

 

二进制安全研究员

岗位职责:

1、对应用软件,操作系统,浏览器,虚拟机等进行漏洞挖掘研究,完成漏洞利用工作;
2、负责公司防火墙产品和云安全产品安全设备测试;
3、与公司队伍参加国内外安全技术比赛,CTF比赛,RHG比赛等;
4、进行安全研究成果输出,在国内外等安全会议做成果分享;
5、对最新漏洞做跟进研究,进行漏洞分析复现利用输出分析文档。

任职要求:

1、具有一定的编程能力,至少熟练掌握C/C++、python等语言;
2、熟悉ARM/MIPS/X86等汇编语言,具有丰富的逆向工程经验;
3、熟练掌握各种调试逆向工具和调试技巧(如:Ghidra,IDA,Windbg,Ollydbg,GDB等);
4、具有较好的英语文档和顶会论文阅读能力;
5、熟悉Fuzzing技术及常见漏洞挖掘工具,具有相关漏洞挖掘工具的二次开发经验;
6、有熟练的CTF比赛pwn题和逆向题目解题能力;

加分项:

1、挖掘过系统软件、网络设备,智能硬件等漏洞有CVE编号者优先
2、具有CTF竞赛经验并取得较好成绩的同学优先
3、在安全领域相关社区、期刊上发表论文、文章者优先

 

智能硬件安全研究员

岗位职责:

1、对IOT设备和网络设备等硬件产品进行漏洞挖掘和利用;
2、挖掘市面上主流智能硬件产品的安全漏洞,并给出解决方案;
3、关注业界硬件无线电安全动态,跟进分析最新爆发的硬件产品安全漏洞;

岗位要求:

1、熟练掌握Android Java层和Native层的逆向分析与动态调试;
2、熟悉常见智能硬件设备的固件提取与分析方法,熟悉常用root方法;
3、熟悉http、websocket、xmpp、mqtt等网络协议,可以熟练使用抓包、代理工具等进行通信分析;
4、熟练使用IDA、OllyDbg等逆向工具进行静态&动态二进制逆向分析,漏洞挖掘;
5、熟悉汽车安全,有CAN总线、ECU、车机系统的安全分析、漏洞挖掘经验;
6、有较强的团队协作精神,责任心强,做事积极主动,有良好的沟通能力,能够独立开展工作
7、熟悉zigbee, BLE, WIFI, 无线电, 近场通信, NFC 等无线电协议分析;

 

移动安全研究员

岗位职责

1、负责安卓、iOS应用的逆向分析、加解密等工作;
2、负责常见移动端漏洞分析与原型POC验证;
3、负责APP安全防护方案设计与开发指导;
4.对智能硬件相关的APP做逆向分析和漏洞挖掘。

任职要求

1、有Android和C/C++开发基础,能编写简单的demo;
2、熟练掌握Android Java层和Native层的逆向分析与动态调试;
3、熟悉JEB、IDA等常用逆向工具,了解ELF、DEX、OAT 文件格式;
4、熟练使用 Xposed, Frida 等框架进行 hook 分析调试
5、有一定的CTF mobile类型题目解题能力;
6、有Android加脱壳经验和协议分析经验优先;
7、同时拥有IOS和安卓平台逆向工作经验者优先。

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多