全球安全会议/赛事/活动,差旅无限报销
圈子好友聚会无限报销
实验室岗位拒绝OKR,KPI…
研究资源重度倾斜
16天超长带薪年假,鼓励配合公共假期一起休
实验室岗位每周4天来公司,1天居家办公
… …
推荐成功入职送 apple vision pro
还在开放的岗位:
-
移动安全研究员(Android方向)
-
移动安全研究员(应用层方向 )
-
工控/物联网/网络设备/安全研究员
-
区块链安全研究员
-
Web漏洞研究员(php/java)
-
高级渗透测试工程师
简历投送邮箱:[email protected]
下面是岗位的详细信息
移动安全研究员(Android方向)
工作职责
-
负责漏洞挖掘平台的研发与改进;
-
负责漏洞利用新技术研究;
-
跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告。
任职要求
-
了解Android基本安全机制与功能:root、SELinux、APK签名、锁屏、手机解锁、指纹支付、OTA等;
-
熟悉常见漏洞原理:对堆溢出、UAF、进程注入、提权等,有成功的漏洞挖掘/利用经验;
-
熟悉操作系统原理,了解ARM架构;熟悉Java/C/C++开发,了解打包、反编译、破解流程;熟悉脱壳、混淆对抗;熟悉Ollvm混淆、有实际的对抗经验和成熟的对抗方案;熟悉Android设备指纹、环境分析对抗;
-
其他加分安全技术:密码学、安全协议、逆向工程、Fuzzing;
-
在相关领域顶级会议、期刊上发表过论文者优先考虑;
-
有厂商致谢优先。
移动安全研究员(应用层方向)
工作职责
-
负责漏洞挖掘平台的研发与改进;
-
负责移动客户端安全漏洞、风控策略的分析、挖掘和漏洞利用新技术研究;
-
跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告;
-
持续跟踪、借鉴业界领先的安全技术成果和最佳实践,引入安全攻防技术方法与工具,并在测试验证项目中落地。
任职要求
-
对Android基础安全有深入的了解,包括但不限于框架层、TEE、系统及预置App、Bootloader等攻击面,能够深入挖掘潜在的攻击点;
-
熟练掌握ARM/ARM64汇编语言,对TEE TA有深入的认识,以及熟练的JAVA/C++编程技能;
-
对Android Framework框架及其运作方式,Dalvik/ART虚拟机原理有深刻的理解;
-
具备对智能设备固件和通讯协议进行逆向分析的能力;
-
掌握ARM汇编、ELF结构,熟悉静态分析、HOOK等逆向工程技巧;
-
熟练使用常见的逆向工具和框架,如Apktool、dex2jar、IDA、JEB、Frida、Xposed、Jadx、Drozer、MobSF、Wireshark、Fiddler等;
-
熟悉Android框架和JNI,能够熟练使用NDK独立编写Android应用程序和Native原生程序;
-
至少熟练掌握一种编程语言,如Java、Python、Shell、C等。
工控/物联网/网络设备/安全研究员
工作职责
-
物联网通用协议、组件、操作系统漏洞挖掘与漏洞复现;
-
物联网设备漏洞挖掘与漏洞复现;
-
参与创新物联网安全研究项目;
-
分析研究嵌入式IoT设备(路由器、摄像头)或工控PLC等固件的漏洞。
任职要求
-
至少需2年工作经验;
-
熟练qemu模拟/仿真,熟悉嵌入式系统wifi,蓝牙,Zigbee,LTE,NB-IOT,5G等攻击面,对可挖掘攻击面有较为深入的理解;
-
熟练固件提取,精通armv7/v8 shellcode撰写,熟悉MIPS指令;
-
较为熟练linux内核/Android内核堆漏洞利用,包括不限于跨缓存攻击/物理页uaf等;
-
对未知领域和工控安全具有强烈爱好,愿意在该方向深耕。
加分项
-
有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
-
参加过Pwn2Own、天府杯等赛事,并成功攻破目标;
-
在有影响力的业界会议(学术/工业)上发表论文;
-
有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
-
通过使用/定制/自研工具发现有效漏洞;
-
作为CTF主力选手取得过优秀的成绩。
区块链安全研究员
工作职责
-
负责区块链安全研究和代码安全审计;
-
探索区块链和其他前沿技术,并提前规划布局和实施;
-
负责区块链相关的漏洞挖掘和分析,如交易所、钱包、智能合约等。
任职要求
-
5年或以上经验;
-
精通 Golang /C++ /JavaScript/ Java /Python /Rust 中的一种或多种编程语言;
-
在至少一个安全领域具备漏洞挖掘和分析技能;
-
对新技术敏感和感兴趣,对区块链安全技术有浓厚兴趣;
-
熟悉比特币和以太坊等主流区块链技术及相关机制原理;
-
熟悉零知识证明(ZK)技术及相关机制原理;
-
对不同类型的软件有最新的了解,并在任何操作系统、软件(二进制或Web)应用程序或区块链上进行漏洞发现的经验。
Web漏洞研究员(php/java)
工作职责
Web方向漏洞挖掘、研究、武器化落地
-
关注全球最新的漏洞,并对高危漏洞进行分析和调试,编写 poc & exp;
-
对各类通用应用系统或框架组件、中间件等进行漏洞挖掘。
任职要求
-
Web安全基础扎实,对常见漏洞的原理和利用有较深入的理解;
-
熟悉PHP、Java、Dotnet、Python、Go、JavaScript中至少两门主流语言,熟悉框架、SDK底层代码;
-
熟悉SAST相关工具,如CodeQL;
-
对漏洞挖掘与利用感兴趣,有快速学习和自我驱动力,有较强的团队协作精神。
加分项
1. 有独立漏洞挖掘、完整利用编写经验;
2. 获得过主流厂商的致谢,如Apache、Oracle、VMware (VCenter、Horizon)、Struts2、Spring、Wordpress等;
3. 提交过高质量CVE漏洞或独立编写过有深度的漏洞分析文章优先。
高级渗透测试工程师
工作职责
-
跟踪关注全球安全领域的安全动态;
-
对客户业务进行深度渗透,发现从互联网到业务的完整攻击链条。
任职要求
-
熟悉常见的渗透手段,包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等;
-
熟练掌握主流网络、应用、系统攻击技术及常用工具;熟悉常见安全漏洞原理及利用;
-
熟练掌握ATT&CK各环节关键技术、工具使用和思路;
-
对EDR等安全设备有较深入的研究和Bypass经验。
加分项
-
拥有大型企业内外网完整渗透测试经验,对APT有深入研究或有实践经验;
-
有较多内外网渗透经验或对工作组/域中的对抗有深入研究;
-
有大型网络安全竞赛获奖经历/挖掘过高质量漏洞/发表过深度技术Paper;
-
有在围绕渗透测试所需的技能栈中的某一领域,极具竞争力的。
原文始发于微信公众号(Numen Cyber Labs):招聘:Numen Cyber Labs 农历新年召集令
