全球安全会议/赛事/活动,差旅无限报销
圈子好友聚会无限报销
实验室岗位拒绝OKR,KPI...
研究资源重度倾斜
16天超长带薪年假,鼓励配合公共假期一起休
实验室岗位每周4天来公司,1天居家办公
... ...
推荐成功入职送 apple vision pro
还在开放的岗位:
移动安全研究员(Android方向)
移动安全研究员(应用层方向 )
工控/物联网/网络设备/安全研究员
区块链安全研究员
Web漏洞研究员(php/java)
高级渗透测试工程师
简历投送邮箱:[email protected]
下面是岗位的详细信息
负责漏洞挖掘平台的研发与改进;
负责漏洞利用新技术研究;
跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告。
了解Android基本安全机制与功能:root、SELinux、APK签名、锁屏、手机解锁、指纹支付、OTA等;
熟悉常见漏洞原理:对堆溢出、UAF、进程注入、提权等,有成功的漏洞挖掘/利用经验;
熟悉操作系统原理,了解ARM架构;熟悉Java/C/C++开发,了解打包、反编译、破解流程;熟悉脱壳、混淆对抗;熟悉Ollvm混淆、有实际的对抗经验和成熟的对抗方案;熟悉Android设备指纹、环境分析对抗;
其他加分安全技术:密码学、安全协议、逆向工程、Fuzzing;
在相关领域顶级会议、期刊上发表过论文者优先考虑;
有厂商致谢优先。
移动安全研究员(应用层方向)
负责漏洞挖掘平台的研发与改进;
负责移动客户端安全漏洞、风控策略的分析、挖掘和漏洞利用新技术研究;
跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告;
持续跟踪、借鉴业界领先的安全技术成果和最佳实践,引入安全攻防技术方法与工具,并在测试验证项目中落地。
任职要求
对Android基础安全有深入的了解,包括但不限于框架层、TEE、系统及预置App、Bootloader等攻击面,能够深入挖掘潜在的攻击点;
熟练掌握ARM/ARM64汇编语言,对TEE TA有深入的认识,以及熟练的JAVA/C++编程技能;
对Android Framework框架及其运作方式,Dalvik/ART虚拟机原理有深刻的理解;
具备对智能设备固件和通讯协议进行逆向分析的能力;
掌握ARM汇编、ELF结构,熟悉静态分析、HOOK等逆向工程技巧;
熟练使用常见的逆向工具和框架,如Apktool、dex2jar、IDA、JEB、Frida、Xposed、Jadx、Drozer、MobSF、Wireshark、Fiddler等;
熟悉Android框架和JNI,能够熟练使用NDK独立编写Android应用程序和Native原生程序;
至少熟练掌握一种编程语言,如Java、Python、Shell、C等。
工控/物联网/网络设备/安全研究员
工作职责
物联网通用协议、组件、操作系统漏洞挖掘与漏洞复现;
物联网设备漏洞挖掘与漏洞复现;
参与创新物联网安全研究项目;
分析研究嵌入式IoT设备(路由器、摄像头)或工控PLC等固件的漏洞。
至少需2年工作经验;
熟练qemu模拟/仿真,熟悉嵌入式系统wifi,蓝牙,Zigbee,LTE,NB-IOT,5G等攻击面,对可挖掘攻击面有较为深入的理解;
熟练固件提取,精通armv7/v8 shellcode撰写,熟悉MIPS指令;
较为熟练linux内核/Android内核堆漏洞利用,包括不限于跨缓存攻击/物理页uaf等;
对未知领域和工控安全具有强烈爱好,愿意在该方向深耕。
加分项
有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
参加过Pwn2Own、天府杯等赛事,并成功攻破目标;
在有影响力的业界会议(学术/工业)上发表论文;
有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
通过使用/定制/自研工具发现有效漏洞;
作为CTF主力选手取得过优秀的成绩。
区块链安全研究员
工作职责
负责区块链安全研究和代码安全审计;
探索区块链和其他前沿技术,并提前规划布局和实施;
负责区块链相关的漏洞挖掘和分析,如交易所、钱包、智能合约等。
5年或以上经验;
精通 Golang /C++ /JavaScript/ Java /Python /Rust 中的一种或多种编程语言;
在至少一个安全领域具备漏洞挖掘和分析技能;
对新技术敏感和感兴趣,对区块链安全技术有浓厚兴趣;
熟悉比特币和以太坊等主流区块链技术及相关机制原理;
熟悉零知识证明(ZK)技术及相关机制原理;
对不同类型的软件有最新的了解,并在任何操作系统、软件(二进制或Web)应用程序或区块链上进行漏洞发现的经验。
Web漏洞研究员(php/java)
工作职责
Web方向漏洞挖掘、研究、武器化落地
关注全球最新的漏洞,并对高危漏洞进行分析和调试,编写 poc & exp;
对各类通用应用系统或框架组件、中间件等进行漏洞挖掘。
Web安全基础扎实,对常见漏洞的原理和利用有较深入的理解;
熟悉PHP、Java、Dotnet、Python、Go、JavaScript中至少两门主流语言,熟悉框架、SDK底层代码;
熟悉SAST相关工具,如CodeQL;
对漏洞挖掘与利用感兴趣,有快速学习和自我驱动力,有较强的团队协作精神。
加分项
1. 有独立漏洞挖掘、完整利用编写经验;
2. 获得过主流厂商的致谢,如Apache、Oracle、VMware (VCenter、Horizon)、Struts2、Spring、Wordpress等;
3. 提交过高质量CVE漏洞或独立编写过有深度的漏洞分析文章优先。
高级渗透测试工程师
工作职责
跟踪关注全球安全领域的安全动态;
对客户业务进行深度渗透,发现从互联网到业务的完整攻击链条。
任职要求
熟悉常见的渗透手段,包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等;
熟练掌握主流网络、应用、系统攻击技术及常用工具;熟悉常见安全漏洞原理及利用;
熟练掌握ATT&CK各环节关键技术、工具使用和思路;
对EDR等安全设备有较深入的研究和Bypass经验。
加分项
拥有大型企业内外网完整渗透测试经验,对APT有深入研究或有实践经验;
有较多内外网渗透经验或对工作组/域中的对抗有深入研究;
有大型网络安全竞赛获奖经历/挖掘过高质量漏洞/发表过深度技术Paper;
有在围绕渗透测试所需的技能栈中的某一领域,极具竞争力的。