Qihoo 360 logo
三六零
助理安全实习生(漏洞挖掘与利用)(北京)-4938(J12281)

助理安全实习生(漏洞挖掘与利用)(北京)-4938(J12281)

发布于 3 天前

实习/见习

北京市
无经验要求
实习生
仅现场办公
本科
研究与开发 (研发)
Gdb
Ida
Web安全
Windbg
二进制安全
大语言模型
模糊测试
汇编
漏洞挖掘

AI 估算 · 3k–6k

北京安全实习生岗位,360平台提供不错的薪酬,但实习生薪资相对固定,总体处于中等水平。

职位详情

关于这个职位

这是一个面向安全领域的实习岗位,你将深入了解漏洞挖掘与利用技术,使用逆向工程、模糊测试、静态/动态代码分析等方法发现安全漏洞,并有机会探索大语言模型在Web和二进制漏洞挖掘中的应用

适合对安全有热情、具备编程基础的同学,通过实战提升安全研究能力

最低要求

计算机科学、信息安全或相关领域本科及以上学历

对Web和二进制安全漏洞有一定的认知,具备一定的逆向分析能力和研究能力,熟练使用常见工具,如:IDA、WinDbg、GDB等
熟练掌握C/C++/Python等至少一种语言,熟悉X86或ARM汇编指令,有扎实的编程基础
对漏洞挖掘与利用感兴趣,有热情和自我驱动力,有一定的抗压能力和较强的团队协作精神

工作职责

深入研究软件、设备、系统、网络协议等某领域或多领域的安全漏洞,利用逆向工程、模糊测试、静态/动态代码分析等技术,主动发现并验证新的安全漏洞

探索应用大语言模型(LLM)技术于Web与二进制领域的复杂漏洞挖掘,结合专业知识,设计构建相关自动化工具/流程
研究前沿攻防技术,跟踪国内外安全动态与漏洞披露信息,复现漏洞,研究攻击手法和防御技术,持续提升公司的安全研究能力
参与相关项目或课题,推动漏洞研究能力的价值转化

优先资格

参加过天府杯、Pwn2Own等赛事,并成功攻破目标,作为CTF主力选手取得过优秀的成绩

在有影响力的业界会议(学术/工业)上发表论文
有独立挖掘漏洞的经验,获得过主流厂商的CVE编号
通过使用/定制/自研工具发现有效漏洞

AI 洞察

优缺点分析

优点

  • 是国内安全领域头部公司,能接触到真实、前沿的安全攻防场景,技术积累深厚
  • 实习期间可参与漏洞挖掘实战,有机会获得CVE编号,简历含金量高
  • 公司提供导师指导,团队氛围好,能快速提升逆向分析和漏洞研究能力
  • 工作内容涉及新兴的大语言模型技术,处于安全研究前沿,发展空间大
  • 技能要求全面,逆向、编程、汇编等都需要扎实基础,学习曲线陡峭
  • 安全领域竞争激烈,需要持续跟踪最新漏洞和技术动态,保持学习和更新

缺点 / 挑战

  • 漏洞挖掘需要极强的耐心和钻研精神,有时可能长时间没有产出,心理压力较大
  • 适合对安全漏洞挖掘有浓厚兴趣,具备较强自学能力和编程功底,能承受一定压力并希望在安全领域长期发展的同学

角色解读

  • 从实习生转正为安全研究员,深入某一领域(如Web安全或二进制安全)成为专家
  • 积累CVE编号和大会演讲经历,提升行业影响力,向高级安全研究员或安全架构师发展
  • 结合大模型等新技术,转向安全工具开发或AI安全研究方向,成为复合型人才
  • 使用逆向工程、模糊测试、静态/动态代码分析等技术,主动发现并验证软件、设备、系统或网络协议的安全漏洞
  • 探索将大语言模型(LLM)应用于Web和二进制漏洞挖掘,设计自动化工具提升效率
  • 跟踪国内外安全动态,复现最新漏洞,研究攻击手法和防御技术
  • 参与安全研究项目,将漏洞研究成果转化为实际价值
  • 扎实的计算机科学或信息安全基础知识,本科及以上学历
  • 熟悉逆向分析,熟练使用IDA、WinDbg、GDB等工具,具备二进制安全漏洞认知
  • 精通C/C++/Python至少一种,了解X86或ARM汇编,编程能力强
  • 对漏洞挖掘有浓厚兴趣,具备自我驱动力和团队协作精神

申请策略

  • 在简历或求职信中提及你对360安全产品的了解,以及为什么想加入360做安全研究
  • 如果时间允许,可以准备一个简短的漏洞分析报告(如之前发现的漏洞或CTF题解),展现技术深度
  • 突出逆向分析经验,如使用IDA分析过哪些程序或漏洞,展示具体的分析步骤和成果
  • 强调编程项目经历,尤其是C/C++/Python在安全工具或脚本开发中的应用
  • 若有CTF获奖、CVE编号或安全会议经历,务必排在显眼位置
  • 展示对漏洞挖掘的热情,如个人博客、GitHub上的安全研究项目
  • 系统复习汇编语言(X86/ARM)和操作系统原理,扎实底层基础
  • 练习使用IDA Pro和GDB进行实际的逆向分析,尝试复现公开漏洞

面试指南

  • 对于技术原理题,先给出定义,然后举例说明,最后补充自己的实践经验或思考
  • 对于项目经验题,按照STAR法则(背景、任务、行动、结果)组织回答,突出个人贡献
  • 对于开放观点题,先阐明立场,再分点论证,最后总结并联系公司业务
  • 请描述一次你逆向分析一个程序或漏洞的完整过程
  • 栈溢出和堆溢出的原理与利用方式有何不同?请举例说明
  • 你如何理解模糊测试?如何设计一个针对特定协议的模糊测试器?
  • 你对大语言模型在安全领域的应用有什么看法?能想到哪些可能的攻击面?
  • 请解释一下ROP(返回导向编程)的原理,并给出一个简单的利用思路

职位点评

60
综合评分

大厂安全实习,前沿技术栈,成长空间大,但薪资较低且需现场办公。

更适合这类人
该职位最适合重视技能成长和行业影响力的求职者,尤其是希望在安全领域深耕的学生。
表现最好
成长发展
相对薄弱
薪资福利
薪资福利30
成长发展90
工作生活50
使命价值70

薪资福利

30较低

该职位为实习生岗位,薪资水平相对较低,且未提及福利待遇,补偿性动机满足程度有限。

薪资信号未披露(AI估算:3K-6K/月)

成长发展

90较高

职位涉及前沿漏洞挖掘技术和大语言模型应用,公司平台优秀,能快速积累技术能力和行业声誉,发展性动机得到高度满足。

技术前沿前沿/新兴技术
技术栈漏洞挖掘、逆向工程、模糊测试、大语言模型、IDA、WinDbg、GDB、C++、Python、汇编
业务类型ambiguous

工作生活

50较低

工作地点在北京,要求现场办公,未提及弹性工作或远程,可能面临通勤压力,生活化动机满足一般。

工作模式仅现场办公
办公地点未明确
加班情况未提及(无法判断)

使命价值

70中等

网络安全行业属于高速增长赛道,漏洞研究工作具有明显的社会价值(保护用户安全),意义感较强。

行业发展高速增长赛道
社会影响正向社会影响力较高
创新程度积极采用新技术
Watch Jobs