素质要求: (1)熟悉APP和Web渗透测试技术、攻击方法、手工检测及防御方法,能够挖掘常见OWASP漏洞,包括:SQL注入、XSS、SSRF、文件上传、命令执行、文件包含、CSRF、XXE等 (2)熟悉渗透测试的流程、方法和步骤
熟练掌握国内外主流工具,如BurpSuite、AWVS、Nmap、Nessus、Openvas、Metasploit、Kali、AppScan、SqlMap、MSF等 (3)熟悉linux、windows操作系统和相关命令
熟练掌握python/java/php/shell等一种或多种脚本语言,有开发经验优先 (4)有蓝方/红方经验,有丰富的实战经验,参与过国家级、省级实战演练,作为核心成员承担攻击方且排名靠前,可独立完成渗透测试工作 (5)熟练掌握常见的外网打点攻防技术,对相关漏洞的原理有深入的理解 (6)熟悉Windows/Linux/Android,横向、域、权限维持、免杀等相关技术并在某几个方面有深入研究 (7)熟悉内网攻击思路和方法,域环境渗透等,有自己独立的内网渗透方法和思路 (8)对安全有浓厚的兴趣和较强的独立钻研能力、学习能力、解决问题能力,关注安全行业的发展态势,有专研精神和持续的学习热情,有良好的团队精神 (9)熟悉CTF比赛解题思路,对CTF比赛有浓厚兴趣和钻研热情,作为核心成员在大型CTF比赛中排名靠前 (10)具备以下条件者优先:有SRC提交漏洞经验者/CNVD/CVE证书优先
有红队工具开发经验,丰富的社工经验、0day挖掘经验
发表过高质量技术文章或者挖掘过高质量漏洞
参与过大型CTF比赛,并且获得好的名次,具备二进制逆向、PWN等能力 2.英语水平:通过国家英语四六级考试或相当英语等级水平的优先