准备找工作,希望找个渗透或偏红队攻击类的 网上搜索了下大致的的工作内容和要求如下,
岗位职责:
1. 负责指定网站、App、服务器的漏洞检测任务
2. 负责渗透测试服务
3. 负责漏洞扫描服务
4. 参与攻防对抗任务
5. 负责应急响应工作
6. 客户现场进行漏洞扫描、漏洞检测、渗透测试
7. 进行源代码审计工作
8. 完成各类服务的结果验证、复测和报告书写
9. 负责技术问题的解答
任职资格:
1. 2 年以上安全技术从业经验,如渗透测试工程师、安全服务工程师、安全开发工程师、安全运维工程师、安全研究员等
2. 熟练使用各类安全测试工具,如 Nmap、SQLMap、Burpsuite、Metasploit 等
3. 熟练掌握 OWASP Top10 所列举的漏洞类别中常见漏洞的利用方法、利用原理和修复方法
4. 了解常见的框架和组件漏洞(如反序列化),并能够对其进行利用
5. 熟悉一种或多种漏洞扫描工具的使用以及漏洞结果的解读(如 Nessus、AWVS)
6. 熟悉 Unix/Linux/MacOS 操作系统的使用和常用 Shell 命令
7. 熟悉 Windows 操作系统的使用,熟悉 CMD/Powershell 命令和域控的概念
8. 了解移动 App 检测的基本内容,能够使用工具对移动 App 进行漏洞检查
9. 了解常见数据库、缓存、云存储概念
10. 熟悉 Python 语法,能够独立编写 PoC 脚本
11. 能够阅读 PHP/JAVA/C#/Golang 等常用开发语言的一种或多种,并了解常见漏洞的代码特征
12. 了解社会工程学,钓鱼邮件、Wi-Fi 劫持的基础原理
13. 了解基础的防护策略绕过方法
14. 熟悉 Word、Excel 的使用,了解分页、分节、引用的概念
15. 有 CTF 获奖经验者优先
16. 有各大 SRC/CNVD/CNNVD/CVE 漏洞证书或漏洞奖励者优先
17. 获得 OSCP/CISP 等技术类证书优先
18. 计算机/信息安全/软件开发等专业优先
19. 有客户现场服务经验、售前经验者优先
ISO27001 信息安全管理体系
IT 安全审计
CISSP CISP CISA