全球安全会议/赛事/活动，差旅无限报销

圈子好友聚会无限报销

实验室岗位拒绝OKR，KPI...

研究资源重度倾斜

16天超长带薪年假，鼓励配合公共假期一起休

实验室岗位每周4天来公司，1天居家办公

... ...

   推荐成功入职送  apple vision pro 

还在开放的岗位：

• 移动安全研究员（Android方向）

• 移动安全研究员（应用层方向 ）
  

• 工控/物联网/网络设备/安全研究员

• 区块链安全研究员

• Web漏洞研究员（php/java）

• 高级渗透测试工程师

简历投送邮箱：[email protected]

下面是岗位的详细信息

工作职责

1. 负责漏洞挖掘平台的研发与改进；

2. 负责漏洞利用新技术研究；

3. 跟踪全球最新安全动态，了解最新的攻击技术，完成分析报告。

任职要求

1. 了解Android基本安全机制与功能：root、SELinux、APK签名、锁屏、手机解锁、指纹支付、OTA等;

2. 熟悉常见漏洞原理：对堆溢出、UAF、进程注入、提权等，有成功的漏洞挖掘/利用经验；

3. 熟悉操作系统原理，了解ARM架构；熟悉Java/C/C++开发，了解打包、反编译、破解流程；熟悉脱壳、混淆对抗；熟悉Ollvm混淆、有实际的对抗经验和成熟的对抗方案；熟悉Android设备指纹、环境分析对抗；

4. 其他加分安全技术：密码学、安全协议、逆向工程、Fuzzing；

5. 在相关领域顶级会议、期刊上发表过论文者优先考虑；

6. 有厂商致谢优先。

移动安全研究员（应用层方向）

工作职责

1. 负责漏洞挖掘平台的研发与改进；

2. 负责移动客户端安全漏洞、风控策略的分析、挖掘和漏洞利用新技术研究；

3. 跟踪全球最新安全动态，了解最新的攻击技术，完成分析报告;
   

4. 持续跟踪、借鉴业界领先的安全技术成果和最佳实践，引入安全攻防技术方法与工具，并在测试验证项目中落地。

任职要求

1. 对Android基础安全有深入的了解，包括但不限于框架层、TEE、系统及预置App、Bootloader等攻击面，能够深入挖掘潜在的攻击点；

2. 熟练掌握ARM/ARM64汇编语言，对TEE TA有深入的认识，以及熟练的JAVA/C++编程技能；

3. 对Android Framework框架及其运作方式，Dalvik/ART虚拟机原理有深刻的理解；

4. 具备对智能设备固件和通讯协议进行逆向分析的能力；

5. 掌握ARM汇编、ELF结构，熟悉静态分析、HOOK等逆向工程技巧；

6. 熟练使用常见的逆向工具和框架，如Apktool、dex2jar、IDA、JEB、Frida、Xposed、Jadx、Drozer、MobSF、Wireshark、Fiddler等；

7. 熟悉Android框架和JNI，能够熟练使用NDK独立编写Android应用程序和Native原生程序；

8. 至少熟练掌握一种编程语言，如Java、Python、Shell、C等。

工控/物联网/网络设备/安全研究员

工作职责

1. 物联网通用协议、组件、操作系统漏洞挖掘与漏洞复现；

2. 物联网设备漏洞挖掘与漏洞复现；

3. 参与创新物联网安全研究项目；

4. 分析研究嵌入式IoT设备（路由器、摄像头）或工控PLC等固件的漏洞。

任职要求

1. 至少需2年工作经验；

2. 熟练qemu模拟/仿真，熟悉嵌入式系统wifi，蓝牙，Zigbee，LTE，NB-IOT，5G等攻击面，对可挖掘攻击面有较为深入的理解；

3. 熟练固件提取，精通armv7/v8 shellcode撰写，熟悉MIPS指令；

4. 较为熟练linux内核/Android内核堆漏洞利用，包括不限于跨缓存攻击/物理页uaf等；

5. 对未知领域和工控安全具有强烈爱好，愿意在该方向深耕。

加分项

1. 有独立挖掘漏洞的经验，获得过主流厂商的CVE编号；

2. 参加过Pwn2Own、天府杯等赛事，并成功攻破目标；

3. 在有影响力的业界会议（学术/工业）上发表论文；

4. 有独立挖掘漏洞的经验，获得过主流厂商的CVE编号；

5. 通过使用/定制/自研工具发现有效漏洞；

6. 作为CTF主力选手取得过优秀的成绩。

区块链安全研究员

工作职责

1. 负责区块链安全研究和代码安全审计；

2. 探索区块链和其他前沿技术，并提前规划布局和实施；

3. 负责区块链相关的漏洞挖掘和分析，如交易所、钱包、智能合约等。

任职要求

1. 5年或以上经验；

2. 精通 Golang /C++ /JavaScript/ Java /Python /Rust 中的一种或多种编程语言；

3. 在至少一个安全领域具备漏洞挖掘和分析技能；

4. 对新技术敏感和感兴趣，对区块链安全技术有浓厚兴趣；

5. 熟悉比特币和以太坊等主流区块链技术及相关机制原理；

6. 熟悉零知识证明（ZK）技术及相关机制原理；

7. 对不同类型的软件有最新的了解，并在任何操作系统、软件（二进制或Web）应用程序或区块链上进行漏洞发现的经验。

Web漏洞研究员（php/java）

工作职责

Web方向漏洞挖掘、研究、武器化落地

1. 关注全球最新的漏洞，并对高危漏洞进行分析和调试，编写 poc & exp；

2. 对各类通用应用系统或框架组件、中间件等进行漏洞挖掘。

任职要求

1. Web安全基础扎实，对常见漏洞的原理和利用有较深入的理解；

2. 熟悉PHP、Java、Dotnet、Python、Go、JavaScript中至少两门主流语言，熟悉框架、SDK底层代码；

3. 熟悉SAST相关工具，如CodeQL；

4. 对漏洞挖掘与利用感兴趣，有快速学习和自我驱动力，有较强的团队协作精神。

加分项

1. 有独立漏洞挖掘、完整利用编写经验；

2. 获得过主流厂商的致谢，如Apache、Oracle、VMware （VCenter、Horizon）、Struts2、Spring、Wordpress等；

3. 提交过高质量CVE漏洞或独立编写过有深度的漏洞分析文章优先。

高级渗透测试工程师

工作职责

1. 跟踪关注全球安全领域的安全动态；

2. 对客户业务进行深度渗透，发现从互联网到业务的完整攻击链条。

任职要求

1. 熟悉常见的渗透手段，包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等；

2. 熟练掌握主流网络、应用、系统攻击技术及常用工具；熟悉常见安全漏洞原理及利用；

3. 熟练掌握ATT&CK各环节关键技术、工具使用和思路；

4. 对EDR等安全设备有较深入的研究和Bypass经验。

加分项

1. 拥有大型企业内外网完整渗透测试经验，对APT有深入研究或有实践经验;

2. 有较多内外网渗透经验或对工作组/域中的对抗有深入研究;

3. 有大型网络安全竞赛获奖经历/挖掘过高质量漏洞/发表过深度技术Paper;

4. 有在围绕渗透测试所需的技能栈中的某一领域，极具竞争力的。