資安工程師(滲透測試)
中華資安國際是中華電信集團子公司,自2003年開始資安業務,現為國內頂尖資安公司,唯一多年評鑑A級、客戶指名度最高,同時擁有紅隊與藍隊能力,涵蓋面向最廣,跨足領域多元,包含:Web、行動App、雲端、工控、IoT檢測、無人機...等,至今發表CVE漏洞超過60個。在這裡,你將可以和一群經驗豐富的高手合作交流,團隊具有OSCP、OSEP、OSWE、OSWP、CRT、LPT、GWAPT等證照,且多數為講師等級,我們具有歡樂的工作氛圍、重視生活平衡,入職享有電信集團優惠、生日假、績效獎金、福委會活動等多元福利。擁有一身好武功卻無處發揮?加入我們吧! 我們正在找尋滲透測試高手,需具備一般/進階檢測技術能力,勇於嘗試各種可能性不怕失敗的抗壓性,良好的時間管理能力。工作目標是幫助我們客戶找出目標網站的弱點,提供修補建議與專業諮詢,讓客戶可以逐年降低企業的資訊安全風險。工作項目包含:滲透測試/源碼檢測/APP檢測/IOT設備檢測: *你需要透過搜尋引擎及資訊蒐集工具,蒐集目標公開資訊、服務、網站架構、系統及軟體版本。 *你可能需要逆向分析APK/IPA,利用除錯工具搜尋重要資訊,找出常見前端與後端伺服器常見弱點。 *你需要熟悉的操作商用弱點掃描工具(如:Nessus、Nexpose、Acunetix、Webinpsect、Fortify、BurpSuite),閱讀檢測報告,找出常見網頁、應用程式與服務程式弱點。 *你需要手動驗證弱點影響程度,包含SQL Injection、Cross Site Scripting、弱密碼、權限跨越、敏感資訊洩漏、商業邏輯、任意上傳下載、任意程式碼執行。 *你需要面對客戶講解滲透測試修補建議,偶爾需要根據程式語言、作業系統找尋合適修補建議。 *這份工作時常出差(每年3-5個月),地點以北北基宜桃竹為主。 *你需要因應滲透目標的商用產品、開發環境、語言框架,研究合適的攻擊手法。 滲透能力要求: *你需要熟悉NAT與Bridge特性、Winodws/Linux作業系統特性、常見伺服器語言與作業系統關係。 *你需要如何設定靜態或動態IP、探測路由是否暢通、探測閘道是否暢通、探測網路連線是否正常的能力。 *你可能需要熟悉MOBILE APP除錯與反編譯,熟悉APP常見弱點,會操作function hooking尤佳(如frida)。 *你需要熟悉至少一種主流伺服器端語言與反編譯工具,曾經維護網站應用程式,能寫出安全的程式碼。 *你需要了解至少一種後端/前端網頁開發框架,例如JAVA Spring、JAVA Struts、PHP Laravel、CakePHP、Python Django、Python Flask、ASP.NET core、ASP.NET MVC、Node.js、Vue.js、React.js、AngularJS *你需要熟悉寫入檔案類型RCE弱點(如檔案上傳)的攻擊運作原理、相關技術與利用情境。 *你需要熟悉至少一種腳本語言,曾用來自動化工作流程,曾修改公開POC腳本。 *你需要熟悉資安檢測工具burp/sqlmap/scan tool *你需要具備中等溝通能力,能將滲透測試方法論、常見弱點、修補建議,有條理的解釋給客戶和團隊。 *你需要具備須具備負責任,細心與耐心的人格特質,能依據客戶需求撰寫報告 *你需要具備基礎證照EC-Council CEH、CompTIA PenTest+、CREST CPSA、OSCP。或有把握到職半年內能考到前述同等證照。 *曾在線上靶場受過資安檢測訓練,例如hackthebox、tryhackme、vulnhub、proving gound類似平台。公司地址:
台北市中正區杭州南路一段26號8樓其他:
*曾獨立找過軟體的RCE類型弱點,取得CVE編號。 *曾繞過WAF成功利用下列弱點SQLi、XSS、檔案上傳、檔案下載漏洞。 *曾繞過防毒/EDR/APP白名單執行後門程式 優先面試數位發展部數位產業署DIGI⁺ Talent計畫之結訓研習生(IOT) DIGITALENT (IOT)-2024-09-17