渗透测试工程师负责识别、利用并记录我们系统、网络和应用程序中的漏洞。该角色通过模拟真实攻击场景、评估风险暴露，并与开发团队协作确保漏洞得到妥善修复，从而在提升整体安全态势中发挥关键作用。您需要像攻击者一样思考，但以防御者的身份行动，将技术专长、创造力和系统分析相结合，以保护平台的完整性和用户的安全。

主要职责

• 执行网络、Web 和应用程序渗透测试，包括黑盒、白盒和灰盒评估。
• 识别并利用漏洞，以评估潜在的业务影响。
• 对 API、云基础设施（如 AWS、CloudFlare、MongoDB Atlas 等）和内部服务进行安全评估。
• 在红队演练中模拟社交工程和钓鱼场景。
• 与工程师和系统管理员协作，验证并确认修复措施。
• 以结构化漏洞报告清晰记录发现，包括概念验证利用和可执行的建议。
• 持续改进内部安全测试方法和自动化流程。
• 关注新兴攻击向量、CVE 和利用框架的最新动态。
• 在漏洞利用后的事后分析中支持事件响应团队。

任职要求

• 3 年以上渗透测试、红队或安全评估经验。
• 熟练使用 Burp Suite、Metasploit、Nmap、Wireshark、Nessus 或 Kali Linux 等工具。
• 深入理解 OWASP 前十大网络安全风险、网络协议及安全编码原则。
• 熟练使用 Typescript 编程。
• 具备超出自动化扫描器的手动测试经验。
• 扎实的 Linux 及云环境知识。
• 优秀的文档编写及沟通能力。