一、專業技能要求 1. 漏洞掃描與分析能力 熟練使用漏掃工具： 掌握主流漏洞掃描工具的原理與操作，如 Nessus、AWVS、AppScan、天鏡、綠盟漏掃等，能根據不同場景（如 Web 應用、主機、網絡設備）配置掃描策略。 理解掃描結果中的漏洞類型（如 SQL 注入、XSS、弱口令、未授權訪問等），能區分 “誤報” 與 “真實漏洞”，并定位漏洞根源。 漏洞知識庫與修復能力： 熟悉 CVE、CNNVD、OWASP TOP 10 等漏洞標準和知識庫，能結合業務場景評估漏洞的影響范圍與風險等級。 能針對不同漏洞提供可行的修復建議，如補丁更新、代碼審計、配置加固、安全策略調整等。 2. 滲透測試實戰能力 滲透測試流程與方法： 熟悉滲透測試全流程（信息收集、漏洞發現、漏洞利用、權限維持、痕跡清除），掌握 黑盒 / 白盒 / 灰盒測試 方法。 熟悉web、APP、小程序等滲透測試方法。 熟練使用滲透工具鏈，如 Burp Suite、Nmap、Metasploit、sqlmap、Hydra、Aircrack-ng 等，能手動驗證漏洞（如手工注入、代碼執行、文件上傳等）。 漏洞利用與攻擊技術： 掌握常見漏洞的利用原理，如 遠程代碼執行（RCE）、命令注入、文件包含、邏輯漏洞（越權、支付漏洞）、中間件漏洞（Struts2、Tomcat） 等。 了解 免殺技術（如對 Payload 進行編碼、使用無文件攻擊）和 后滲透技巧（如內網橫向移動、權限提升）。 3. 技術棧與編程能力 操作系統與網絡基礎： 熟悉 Windows/Linux 系統架構，掌握系統安全配置（如防火墻策略、用戶權限管理）；理解 TCP/IP 協議、網絡拓撲（如 DMZ 區、VLAN）和常見端口服務（如 80/443、3389、22）的安全風險。 編程語言與腳本開發： 至少掌握一門編程語言（如 Python、Go、Java）或腳本語言（如 Shell、JavaScript），能編寫自動化掃描腳本、POC（漏洞驗證代碼）或漏洞利用工具。 能閱讀開源工具的源碼，根據需求進行二次開發或定制化修改。 4. 項目管理經驗： 擁有1年以上中、大型項目管理經驗，精通團隊協調與溝通，主動積極溝通處理事情。 二、工作經驗與項目要求 學歷與經驗： 計算機、網絡安全等相關專業 本科及以上學歷。 3 年以上網絡安全相關經驗，至少參與過滲透測試 / 漏洞掃描項目，有大型企業、攻防演練、護網行動經驗者優先。 三、職業素養與軟技能 風險意識與責任心： 對安全漏洞敏感，能從攻擊者視角評估風險，避免因漏洞遺漏導致安全事件。 嚴謹細致，注重測試過程中的數據保密與系統穩定性，避免因測試操作引發業務中斷。 善于與團隊成員協作.認證與加分項 行業認證： 必備：CISP證書 加分：CNVD 漏洞提交者認證、參與過開源安全項目（如漏洞掃描工具開發）。 技術加分項： 熟悉 云平臺安全（如 AWS、阿里云的安全配置與漏洞掃描）。 掌握 工控系統、移動應用（Android/iOS）、API 接口 的滲透測試方法。 有 代碼審計經驗（如使用 SonarQube、Checkmarx 等工具）或應急響應經驗。