Mô Tả Công Việc
Chúng tôi đang tìm kiếm một Kỹ sư Bảo mật Cấp cao chuyên về Kiểm tra Mã để gia nhập đội ngũ của chúng tôi. Ứng viên lý tưởng sẽ đóng vai trò quan trọng trong việc đảm bảo an ninh cho các dự án của công ty thông qua kiểm tra mã toàn diện, kiểm thử xâm nhập và đánh giá lỗ hổng.
Trách Nhiệm Chính
- Tiến hành kiểm tra mã hộp trắng (chủ yếu PHP/Java) cho các dự án của công ty một cách độc lập hoặc hợp tác, phát hiện các lỗ hổng rủi ro cao và rủi ro logic nghiệp vụ.
- Thực hiện kiểm thử xâm nhập hộp đen trên các hệ thống trọng yếu, mô phỏng chiến lược tấn công để xác thực lỗ hổng bảo mật.
- Tham gia các bài tập đội đỏ/đội xanh nội bộ, hoạt động ứng phó sự cố và tái hiện lỗ hổng để xác định nguyên nhân gốc rễ của các sự cố bảo mật.
- Tham gia đánh giá bảo mật các sản phẩm tự phát triển, tạo Bằng chứng Khai thác (POC), demo tái hiện và báo cáo kiểm tra.
- Theo dõi và giám sát các lỗ hổng ngành rủi ro cao (ví dụ: RCE, giải tuần tự hóa, SSRF, tiêm chuỗi cung ứng) và hỗ trợ công bố lỗ hổng bên ngoài cũng như báo cáo nhà cung cấp.
- Hướng dẫn và đào tạo các kỹ sư bảo mật cấp dưới để nâng cao năng lực kỹ thuật tổng thể của đội.
Yêu Cầu Công Việc
- Chuyên môn vững vàng về kiểm tra mã, đặc biệt ứng dụng PHP và Java.
- Kinh nghiệm được chứng minh trong kiểm thử xâm nhập hộp đen và đánh giá lỗ hổng.
- Quen thuộc với các bài tập đội đỏ/đội xanh và quy trình ứng phó sự cố.
- Khả năng tạo báo cáo lỗ hổng chi tiết, POC và khuyến nghị khắc phục.
- Hiểu biết về các lỗ hổng bảo mật phổ biến như RCE, SSRF và lỗi giải tuần tự hóa.
- Kỹ năng giao tiếp xuất sắc và khả năng hướng dẫn thành viên đội cấp dưới.
Ưu Tiên
- Kinh nghiệm với bảo mật chuỗi cung ứng và quy trình công bố lỗ hổng.
- Chứng chỉ như OSCP, CISSP hoặc CEH là một lợi thế.
- Nền tảng về phát triển phần mềm hoặc thực hành mã hóa an toàn.
