美团安全工程师-攻击模拟/紫队方向
任职要求
1. 硕士研究生学历,计算机、网络安全或相关专业背景。 2. 熟悉常见漏洞原理及利用方式,如SQL注入、XSS、CSRF、反序列化等。 3. 具备扎实的编程能力,熟练掌握Python、C/C++或Java等至少一门语言。 4. 了解常见攻击手法(如…
工作职责
1. 参与公司各类系统风险评估与渗透测试,发现潜在安全风险。 2. 研究对抗性暴露验证技术及实践,包括不限于BAS攻击模拟,紫队演练,规则验证等工作。 3. 跟踪国内外安全漏洞动态,研究新型攻击手法与防御技术。 4. 研究前沿AI 并助力平台开发,BAS验证,自动化渗透评估等核心工作。
1. 结合威胁情报设计和开发可执行攻击脚本,验证公司当前检测与响应能力,并形成可持续的安全能力评估与优化机制; 2. 根据公司现有安全防护体系架构,开展针对关键业务场景的攻击模拟与检测覆盖率验证; 3. 策划并实施紫队演练(如横向移动、数据外泄、持久化攻击链复现),检验规则、告警与响应能力的有效性; 4. 基于MITRE ATT&CK等框架分析检测覆盖缺口,协同蓝队优化检测规则和响应流程; 5. 参与应急响应与安全事件复盘,提供攻击链视角分析及安全策略优化建议。
1. 安全测试体系建设与优化 主导设计覆盖SDLC全流程的自动化安全测试体系,整合SAST、DAST、SCA、IAST等工具链,建立多维度的风险识别机制 持续优化漏洞检测策略与工具性能指标(如检出率/误报率/扫描效率),输出可量化的安全能力提升方案 2. 白盒安全能力建设 基于静态代码分析(SAST)技术构建代码安全门禁,设计精准的规则引擎与扫描策略 主导开发语言级安全缺陷模式研究(Java/Go/Python等),通过污点分析、控制流分析等技术实现高危漏洞的精准定位 建立软件成分分析(SCA)的组件风险评级体系,制定开源组件准入规范 3. 黑盒安全测试实施 主导关键业务系统的渗透测试,覆盖Web/API/移动端等多类攻击面 设计基于ATT&CK框架的攻击模拟方案,探索AI Agent自动化渗透测试等前沿技术应用 负责漏洞赏金项目运营与应急响应,建立漏洞有效性验证与分级响应机制 4. 安全缺陷全生命周期管理 制定漏洞CVSS评级标准与修复SLA机制,输出包含PoC验证、影响范围分析、修复建议的标准化报告 与DevOps团队协作设计安全左移方案,推动安全测试能力与CI/CD管道的深度集成
1、模拟APT攻击,开展红蓝对抗工作 2、深入了解Web应用程序安全,熟悉OWASP Top 10安全风险,对于资产收集、打点、提权、横向、绕过等有成熟的工作经验和思路 3、熟练掌握内网工作组、域环境、云环境渗透思路以及实现方式。 4、具备隐蔽渗透工作经验,能够规避防守方的各类安全溯源能力,有较好的防溯源意识; 5、具备一定的编程经验,熟悉至少一门语言,如Java,Go,Python,C/C++;
1. 负责对公司系统、应用和网络进行渗透测试,发现潜在的安全漏洞,并提出修复建议; 2. 参与红蓝对抗演练,模拟真实攻击场景,提升公司网络安全防护能力; 3. 跟踪最新的网络安全攻防技术,研究渗透测试方法论,并持续优化测试工具和技巧; 4. 协助完成公司内部网络安全培训、安全咨询及应急响应工作; 5. 参与网络安全项目的规划、设计和实施,提升公司整体网络安全水平。