渗透测试员（Penetration Tester）负责识别、利用并记录我们系统、网络和应用程序中的漏洞。该角色通过模拟真实攻击、评估风险暴露情况，并与开发团队合作，确保漏洞得到妥善修复，从而在强化整体安全态势方面发挥关键作用。您将以攻击者的思维进行思考，但以防御者的身份行动——将技术专长、创造力和系统化分析相结合，以保护平台的完整性和用户的安全。

主要职责

• 进行网络、Web 和应用程序的渗透测试，包括黑盒、白盒和灰盒评估。
• 识别并利用漏洞，以评估潜在的业务影响。
• 对 API、云基础设施（AWS、CloudFlare、MongoDB Atlas 等）和内部服务进行安全评估。
• 在红队演练中模拟社会工程和网络钓鱼场景。
• 与工程师和系统管理员合作，验证和确认修复效果。
• 以结构化漏洞报告形式清晰记录发现，包括概念验证利用和可操作的建议。
• 推动内部安全测试方法和自动化的持续改进。
• 持续关注新兴攻击手法、CVE 和利用框架。
• 在漏洞利用事后分析中支持事件响应团队。

任职要求

• 3 年及以上渗透测试、红队演练或安全评估经验。
• 熟练使用 Burp Suite、Metasploit、Nmap、Wireshark、Nessus 或 Kali Linux 等工具。
• 深入理解 OWASP Top 10、网络协议和安全编码原则。
• 熟练使用 TypeScript 进行编码。
• 具备超越自动化扫描工具的手动测试经验。
• 具备扎实的 Linux 及云环境知识。
• 优秀的文档编写和沟通能力。

仅对符合条件并将简历发送至此邮箱的候选人予以考虑。