招聘:Numen Cyber Labs 农历新年召集令
2024-1-31 12:12:7 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

中国、新加坡两地办公室任你选择

全球安全会议/赛事/活动,差旅无限报销

圈子好友聚会无限报销

实验室岗位拒绝OKR,KPI...

研究资源重度倾斜

16天超长带薪年假,鼓励配合公共假期一起休

实验室岗位每周4天来公司,1天居家办公

... ...

   推荐成功入职送  apple vision pro 

还在开放的岗位:

  • 移动安全研究员(Android方向)

  • 移动安全研究员(应用层方向

  • 工控/物联网/网络设备/安全研究员

  • 区块链安全研究员

  • Web漏洞研究员(php/java)

  • 高级渗透测试工程师

简历投送邮箱:[email protected]

下面是岗位的详细信息

工作职责

  1. 负责漏洞挖掘平台的研发与改进;

  2. 负责漏洞利用新技术研究;

  3. 跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告。

任职要求

  1. 了解Android基本安全机制与功能:root、SELinux、APK签名、锁屏、手机解锁、指纹支付、OTA等;

  2. 熟悉常见漏洞原理:对堆溢出、UAF、进程注入、提权等,有成功的漏洞挖掘/利用经验;

  3. 熟悉操作系统原理,了解ARM架构;熟悉Java/C/C++开发,了解打包、反编译、破解流程;熟悉脱壳、混淆对抗;熟悉Ollvm混淆、有实际的对抗经验和成熟的对抗方案;熟悉Android设备指纹、环境分析对抗;

  4. 其他加分安全技术:密码学、安全协议、逆向工程、Fuzzing;

  5. 在相关领域顶级会议、期刊上发表过论文者优先考虑;

  6. 有厂商致谢优先。

移动安全研究员(应用层方向)

工作职责

  1. 负责漏洞挖掘平台的研发与改进;

  2. 负责移动客户端安全漏洞、风控策略的分析、挖掘和漏洞利用新技术研究;

  3. 跟踪全球最新安全动态,了解最新的攻击技术,完成分析报告;

  4. 持续跟踪、借鉴业界领先的安全技术成果和最佳实践,引入安全攻防技术方法与工具,并在测试验证项目中落地。

任职要求

  1. 对Android基础安全有深入的了解,包括但不限于框架层、TEE、系统及预置App、Bootloader等攻击面,能够深入挖掘潜在的攻击点;

  2. 熟练掌握ARM/ARM64汇编语言,对TEE TA有深入的认识,以及熟练的JAVA/C++编程技能;

  3. 对Android Framework框架及其运作方式,Dalvik/ART虚拟机原理有深刻的理解;

  4. 具备对智能设备固件和通讯协议进行逆向分析的能力;

  5. 掌握ARM汇编、ELF结构,熟悉静态分析、HOOK等逆向工程技巧;

  6. 熟练使用常见的逆向工具和框架,如Apktool、dex2jar、IDA、JEB、Frida、Xposed、Jadx、Drozer、MobSF、Wireshark、Fiddler等;

  7. 熟悉Android框架和JNI,能够熟练使用NDK独立编写Android应用程序和Native原生程序;

  8. 至少熟练掌握一种编程语言,如Java、Python、Shell、C等。

工控/物联网/网络设备/安全研究员

工作职责

  1. 物联网通用协议、组件、操作系统漏洞挖掘与漏洞复现;

  2. 物联网设备漏洞挖掘与漏洞复现;

  3. 参与创新物联网安全研究项目;

  4. 分析研究嵌入式IoT设备(路由器、摄像头)或工控PLC等固件的漏洞。

任职要求

  1. 至少需2年工作经验;

  2. 熟练qemu模拟/仿真,熟悉嵌入式系统wifi,蓝牙,Zigbee,LTE,NB-IOT,5G等攻击面,对可挖掘攻击面有较为深入的理解;

  3. 熟练固件提取,精通armv7/v8 shellcode撰写,熟悉MIPS指令;

  4. 较为熟练linux内核/Android内核堆漏洞利用,包括不限于跨缓存攻击/物理页uaf等;

  5. 对未知领域和工控安全具有强烈爱好,愿意在该方向深耕。

加分项

  1. 有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;

  2. 参加过Pwn2Own、天府杯等赛事,并成功攻破目标;

  3. 在有影响力的业界会议(学术/工业)上发表论文;

  4. 有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;

  5. 通过使用/定制/自研工具发现有效漏洞;

  6. 作为CTF主力选手取得过优秀的成绩。

区块链安全研究员

工作职责

  1. 负责区块链安全研究和代码安全审计;

  2. 探索区块链和其他前沿技术,并提前规划布局和实施;

  3. 负责区块链相关的漏洞挖掘和分析,如交易所、钱包、智能合约等。

任职要求

  1. 5年或以上经验;

  2. 精通 Golang /C++ /JavaScript/ Java /Python /Rust 中的一种或多种编程语言;

  3. 在至少一个安全领域具备漏洞挖掘和分析技能;

  4. 对新技术敏感和感兴趣,对区块链安全技术有浓厚兴趣;

  5. 熟悉比特币和以太坊等主流区块链技术及相关机制原理;

  6. 熟悉零知识证明(ZK)技术及相关机制原理;

  7. 对不同类型的软件有最新的了解,并在任何操作系统、软件(二进制或Web)应用程序或区块链上进行漏洞发现的经验。

Web漏洞研究员(php/java)

工作职责

Web方向漏洞挖掘、研究、武器化落地

  1. 关注全球最新的漏洞,并对高危漏洞进行分析和调试,编写 poc & exp;

  2. 对各类通用应用系统或框架组件、中间件等进行漏洞挖掘。

任职要求

  1. Web安全基础扎实,对常见漏洞的原理和利用有较深入的理解;

  2. 熟悉PHP、Java、Dotnet、Python、Go、JavaScript中至少两门主流语言,熟悉框架、SDK底层代码;

  3. 熟悉SAST相关工具,如CodeQL;

  4. 对漏洞挖掘与利用感兴趣,有快速学习和自我驱动力,有较强的团队协作精神。

加分项

1. 有独立漏洞挖掘、完整利用编写经验;

2. 获得过主流厂商的致谢,如Apache、Oracle、VMware (VCenter、Horizon)、Struts2、Spring、Wordpress等;

3. 提交过高质量CVE漏洞或独立编写过有深度的漏洞分析文章优先。

高级渗透测试工程师

工作职责

  1. 跟踪关注全球安全领域的安全动态;

  2. 对客户业务进行深度渗透,发现从互联网到业务的完整攻击链条。

任职要求

  1. 熟悉常见的渗透手段,包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等;

  2. 熟练掌握主流网络、应用、系统攻击技术及常用工具;熟悉常见安全漏洞原理及利用;

  3. 熟练掌握ATT&CK各环节关键技术、工具使用和思路;

  4. 对EDR等安全设备有较深入的研究和Bypass经验。

加分项

  1. 拥有大型企业内外网完整渗透测试经验,对APT有深入研究或有实践经验;

  2. 有较多内外网渗透经验或对工作组/域中的对抗有深入研究;

  3. 有大型网络安全竞赛获奖经历/挖掘过高质量漏洞/发表过深度技术Paper;

  4. 有在围绕渗透测试所需的技能栈中的某一领域,极具竞争力的。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg4MDcxNTc2NA==&mid=2247486188&idx=1&sn=39ee2e2530f59ce3955a1eadca20c4e5&chksm=cf71b877f8063161ca87d2ffbf899337e41268ca142042d5beb73fa44509200b1bee64132bff&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh