浅影科技（苏州）有限公司招聘BASE深圳

一、渗透测试工程师 / 红队工程师（Penetration Tester / Red Team）

```

岗位职责：

1、模拟攻击者手段，测试系统是否容易被网页劫持、DNS 劫持或中间人攻击。

2、设计攻击场景、并在受控环境中验证防护能力。

3、编写攻击/检测脚本（Python、Go、C）。

4、编写可复现的测试报告，编写渗透测试与安全加固报告。

岗位要求：

1、熟悉网络协议（TCP/IP、DNS、HTTP）、常见攻防工具与测试方法论。

2、掌握浏览器劫持、MITM、DNS spoof 等技术；

3、熟悉 Burp Suite、Metasploit、Responder、Ettercap；

4、深入理解网络安全攻防技术；

5、能做“授权下”的攻击模拟。

```

二、网络攻防专家 / Network Exploitation Specialist（侧重网络与路由安全）

```

岗位职责：

1、在 RoE 下评估目标网络的路由/BGP/DNS 风险点并设计攻击测试方案。

2、与网络团队协作，设计并执行受控的演练来验证检测与响应能力。

3、提供网络层加固建议与最佳实践（RPKI、BGP 策略、DNSSEC 等）。

4、开发与维护网络检测脚本、规则与告警模板（用于 SOC/监控）。

岗位要求：

1、深入理解 TCP/IP、BGP、DNS、路由交换架构与网络设备（Cisco/Juniper 等）。

2、能使用流量分析工具（tcpdump、Wireshark）与自动化脚本。

3、有网络攻防或授权渗透测试经验。

4、优先项：有 ISP/大型机房或云网络攻防经验；了解路由安全生态与运维流程。

```

三、Web 应用渗透测试工程师

```

岗位职责：

1、执行 Web 漏洞评估（包括业务逻辑、XSS、CSRF、第三方脚本注入风险等）。

2、设计并在受控条件下验证网页劫持场景（例如模拟被注入的脚本如何被检测/拦截）。

3、编写详细渗透测试报告与修复建议。

4、协助蓝队制定监控/告警策略（CSP、SRI、内容完整性校验等）。

任职要求：

1、熟悉 HTTP/HTTPS、浏览器安全模型（CSP、SRI、同源策略）、前端与后端漏洞。

2、熟练使用 Burp、ZAP 等测试工具；会写脚本（Python/Node）用于自动化测试。

3、优先项：有表单劫持/第三方脚本供应链测试经验。

```

四、内网攻防专家 / 横向渗透工程师

```

岗位职责：

1、设计并执行内网横向移动评估与演练（仅限受控环境与授权目标）。

2、进行受控的信息收集与资产发现（主机、服务、信任关系、共享资源、域环境等），并产出内网拓扑与风险地图。

3、评估凭证暴露面与凭证重用/滥用风险，验证多种横向认证路径的可检测性（不含未授权外泄）。

4、验证远程执行、计划任务、服务滥用、隧道/跳板等横向手段在目标环境下的可检测性与影响面，并形成检测指标。

5、记录并保留完整审计证据链（日志、抓包、时间戳、复现步骤在靶场中），撰写详尽渗透报告（风险评级、PoC、修复优先级）。

岗位要求：

1、深入理解操作系统（Windows 与 Linux）安全模型与认证机制（概念性理解 Kerberos/NTLM/SSH/SSO 等，但招聘中请避免要求可执行滥用步骤）。

2、熟悉内网发现方法、网络协议（TCP/IP、SMB、RPC、DNS 等）与常见服务的安全特性。

3、熟练使用内网侦察与渗透工具集（用于受控测试与证据采集），并能写脚本自动化搜集与汇总数据（Python、PowerShell、Bash 等）。

4、熟悉常见日志源与检测点（Windows Event、Syslog、WAF/IDS/EDR 日志等），能将攻击行为映射为可告警的检测指标。

```

投递邮箱：[email protected]