web安全测试工程师

1.具备独立开展渗透测试的能力，掌握标准化渗透流程与技术方法，可熟练使用国内外主流漏洞扫描及渗透工具，胜任传统Web应用、移动APP及小程序的安全测试任务；

2.熟悉各类系统、网络与应用层攻击方式，具备针对不同攻击行为的入侵溯源与取证分析能力；掌握常见安全漏洞的成因及对应加固方案；

3.能够对安全设备产生的告警日志进行有效分析与风险研判。

4.精通至少一种编程或脚本语言，如Java、Python、Shell等，可自主开发常用安全工具以支持渗透测试工作；

5.权限提升：掌握Linux与Windows平台下的权限提升技术，能基于已知漏洞（如DirtyPipe、PrintNightmare等）实施提权操作。

编程与自动化

6.熟悉Python、Go、Shell等语言，具备编写自动化漏洞探测工具的能力。

7.掌握JS反混淆技术与前端安全机制，能够绕过WAF、验证码、CORS等常见防护策略。

8.具备0day与1day漏洞挖掘能力，可独立完成Exploit编写。

岗位要求：

1.具备良好的沟通表达能力，抗压能力强，有团队协作意识，工作积极主动，细致耐心，遵纪守法；

2.持有CISP或CISAW认证资格，证书在有效期内，并能提供相关证明文件；

3.拥有CNVD原创漏洞提交证书或CVE编号者优先考虑；

4.具备三年以上相关工作经验。

岗位职责：

1.参与多个大型项目网络安全攻防实践，熟练运用主流渗透测试工具，并深入理解其底层原理；

2.精通常见Web安全漏洞的形成机制与检测方法，具备高效识别、分析、调试和利用目标资产中主流漏洞的技术能力；

3.拥有丰富的代码审计实战经验，可独立完成代码层面的安全审查，深入理解主流操作系统及应用系统的漏洞特征；熟悉Java、PHP、C/C++、Python等至少一种编程语言，具备对新型漏洞的分析与调试能力；

4.具备大量应急响应实战经历，在发生安全事件时能迅速完成分析处置，持续跟踪业内典型安全事件与热点威胁动态。