岗位职责 1、渗透测试：对公司的Web应用、API接口、小程序及内部系统进行渗透测试，主动挖掘和识别各类安全漏洞。 2、漏洞验证：对自动化工具扫描发现的漏洞进行人工验证、复现、定级，并评估其潜在的业务影响。 3、报告撰写：负责撰写清晰、规范的渗透测试报告，详细描述漏洞原理、复现步骤、风险评估及专业的修复建议。 4、闭环跟踪：协助开发团队理解并修复漏洞，并对修复后的漏洞进行回归测试，确保问题得到彻底解决。 5、知识沉淀：跟踪和研究最新的安全漏洞、攻击手法和攻防技术，参与团队内部的技术分享和知识库建设。 任职要求 1、专业背景：计算机、网络工程、信息安全、软件工程等相关专业在校生（本科及以上学历）。 2、基础扎实：熟悉计算机网络（TCP/IP协议）、操作系统（Linux/Windows）及Web相关技术知识。 3、漏洞理解：熟悉常见的Web安全漏洞原理（如OWASP Top 10），包括但不限于SQL注入、XSS、CSRF、SSRF、命令执行、文件上传、权限绕过等。 4、工具掌握：熟练使用至少一款主流渗透测试工具，如Burp Suite、Nmap、Metasploit、Sqlmap、Wireshark等。 5、编码能力：至少掌握一种脚本语言（如Python/Shell/PHP），能够编写简单的测试脚本或漏洞利用工具。 加分项 1、有CTF（夺旗赛）参赛经验并取得过名次。 2、拥有个人技术博客、GitHub，并有高质量的技术文章或开源项目。 3、曾在各大厂SRC或第三方漏洞平台（如补天、漏洞盒子）提交过高质量漏洞。 4、有代码审计或内网渗透经验。 5、持有相关安全领域认证者（如OSCP、OSEP、OSWE等）优先。