職務概況
年薪NT$ 800,000~1,100,000
台北市中正區
條件要求
語文條件
英文
聽/中等、說/中等、讀/中等、寫/中等
工作經歷
1年以上
職務描述
中華資安國際是中華電信集團子公司,自2003年開始資安業務,現為國內頂尖資安公司,唯一多年評鑑A級、客戶指名度最高,同時擁有紅隊與藍隊能力,涵蓋面向最廣,跨足領域多元,包含:Web、行動App、雲端、工控、IoT檢測、無人機...等,至今發表CVE漏洞超過60個。在這裡,你將可以和一群經驗豐富的高手合作交流,團隊具有OSCP、OSEP、OSWE、OSWP、CRT、LPT、GWAPT等證照,且多數為講師等級,我們具有歡樂的工作氛圍、重視生活平衡,入職享有電信集團優惠、生日假、績效獎金、福委會活動等多元福利。擁有一身好武功卻無處發揮?加入我們吧!
我們正在找尋滲透測試高手,需具備一般/進階檢測技術能力,勇於嘗試各種可能性不怕失敗的抗壓性,良好的時間管理能力。工作目標是幫助我們客戶找出目標網站的弱點,提供修補建議與專業諮詢,讓客戶可以逐年降低企業的資訊安全風險。工作項目包含:滲透測試/源碼檢測/APP檢測/IOT設備檢測:
*你需要透過搜尋引擎及資訊蒐集工具,蒐集目標公開資訊、服務、網站架構、系統及軟體版本。
*你可能需要逆向分析APK/IPA,利用除錯工具搜尋重要資訊,找出常見前端與後端伺服器常見弱點。
*你需要熟悉的操作商用弱點掃描工具(如:Nessus、Nexpose、Acunetix、Webinpsect、Fortify、BurpSuite),閱讀檢測報告,找出常見網頁、應用程式與服務程式弱點。
*你需要手動驗證弱點影響程度,包含SQL Injection、Cross Site Scripting、弱密碼、權限跨越、敏感資訊洩漏、商業邏輯、任意上傳下載、任意程式碼執行。
*你需要面對客戶講解滲透測試修補建議,偶爾需要根據程式語言、作業系統找尋合適修補建議。
*這份工作時常出差(每年3-5個月),地點以北北基宜桃竹為主。
*你需要因應滲透目標的商用產品、開發環境、語言框架,研究合適的攻擊手法。
滲透能力要求:
*你需要熟悉NAT與Bridge特性、Winodws/Linux作業系統特性、常見伺服器語言與作業系統關係。
*你需要如何設定靜態或動態IP、探測路由是否暢通、探測閘道是否暢通、探測網路連線是否正常的能力。
*你可能需要熟悉MOBILE APP除錯與反編譯,熟悉APP常見弱點,會操作function hooking尤佳(如frida)。
*你需要熟悉至少一種主流伺服器端語言與反編譯工具,曾經維護網站應用程式,能寫出安全的程式碼。
*你需要了解至少一種後端/前端網頁開發框架,例如JAVA Spring、JAVA Struts、PHP Laravel、CakePHP、Python Django、Python Flask、ASP.NET core、ASP.NET MVC、Node.js、Vue.js、React.js、AngularJS
*你需要熟悉寫入檔案類型RCE弱點(如檔案上傳)的攻擊運作原理、相關技術與利用情境。
*你需要熟悉至少一種腳本語言,曾用來自動化工作流程,曾修改公開POC腳本。
*你需要熟悉資安檢測工具burp/sqlmap/scan tool
*你需要具備中等溝通能力,能將滲透測試方法論、常見弱點、修補建議,有條理的解釋給客戶和團隊。
*你需要具備須具備負責任,細心與耐心的人格特質,能依據客戶需求撰寫報告
*你需要具備基礎證照EC-Council CEH、CompTIA PenTest+、CREST CPSA、OSCP。或有把握到職半年內能考到前述同等證照。
*曾在線上靶場受過資安檢測訓練,例如hackthebox、tryhackme、vulnhub、proving gound類似平台。
需求人數
1~1人
學歷要求
大學(學院)以上
科系要求
資訊管理相關、資訊工程相關、電機電子工程相關
上班時段
日班
休假制度
週休二日
工作技能
Security Testing (Security test)
Software Programming
Document Processing Software Operation
安全性測試(Security test) 軟體程式設計 文書處理軟體操作
職務類別
Information Security Engineer
