美团移动安全工程师(攻防对抗方向)
任职要求
1. 具备良好的计算机理论基础,熟练掌握数据结构、操作系统、计算机网络的核心原理。
2. 具备良好的App或小程序正向开发能力,熟悉移动端操作系统的核心机制及其底层实现。
3. 具备一定的App或小程序逆向分析能力,掌握协议分析、静态分析、动态调试等技术及其常用工…工作职责
负责移动端各平台(Android/iOS/小程序)攻防体系建设,内容涵盖逆向分析、攻防对抗、工程实现。
1.建设设备风险画像、设备指纹标识能力支撑业务安全防御体系建设; 2.研究攻防原理建设储备设备风险检测方案;
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
1、负责从对抗角度对公司反爬产品、风控策略等进行红蓝验证,以攻促防,促进业务安全。负责开展业务安全反爬方向的蓝军评估、红蓝对抗、实战攻防演习等工作; 2、负责移动端(Android/iOS)应用的逆向分析工作,包括协议分析、算法还原; 3、跟踪和研究最新移动端安全防护与反爬技术,定期进行技术分享,协助团队不断提升整体攻防对抗技术能力。
技术研发:负责安全SDK的开发、维护与性能优化,熟悉设备指纹生成原理,确保指纹的唯一性、稳定性及抗篡改能力。 攻防对抗:研究黑产常用的模拟器、脚本工具、机型伪造等手法,持续升级端侧检测能力。 底层分析:深入研究 Android/iOS系统特性、系统文件、硬件信息,挖掘用于设备标识的特征。 环境安全:检测设备环境是否存在 Root、越狱、Hook 框架(如 Xposed、Frida)、代码注入等安全风险。