美团移动安全工程师(攻防对抗方向)
任职要求
1. 具备良好的计算机理论基础,熟练掌握数据结构、操作系统、计算机网络的核心原理。 2. 具备良好的App或小程序正向开发能力,熟悉移动端操作系统的核心机制及其底层实现。 3. 具备一定的App或小程序逆向分析能力,掌握协议分析、静态分析、动态调试等技术及其常用工具的使用(IDA/JEB/GDB/Frida)。 4. 具备良好的业务理解能力、学习能力、沟通协作能力。 具备以下条件优先 1. 熟悉现代风控体系及其策略设计,具备实际的对抗经验。 2. 熟悉移动端设备指纹机制,具备实际的改机经验。 3. 具备风控漏洞挖掘经验。
工作职责
负责移动端各平台(Android/iOS/小程序)攻防体系建设,内容涵盖逆向分析、攻防对抗、工程实现。
1、负责从对抗角度对公司反爬产品、风控策略等进行红蓝验证,以攻促防,促进业务安全。负责开展业务安全反爬方向的蓝军评估、红蓝对抗、实战攻防演习等工作; 2、负责移动端(Android/iOS)应用的逆向分析工作,包括协议分析、算法还原; 3、跟踪和研究最新移动端安全防护与反爬技术,定期进行技术分享,协助团队不断提升整体攻防对抗技术能力。
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
负责移动端Android攻防体系建设,内容涵盖逆向分析、攻防对抗、工程实现,并形成自动化能力。 结合业务发展,深入研究和分析新的黑灰产攻击方式,并应用逆向攻防技术,有效提升App的安全防护水位。