找呀找呀找工作
前情提要
懒狗再也没法拖沓,毕业压力举头可见,抓紧时间搜集一下招聘要求,补习吧,兄弟们!
毕业时间 2022.03
慌了呀~!
我主要的方向是移动安全,可看这上海它岗位也太少,那就顺带瞅瞅其他方向吧
通用
编程开发
具备 Mac/Linux/Windows 环境下开发能力 - 优先级 Linux Windows MacOS
熟悉掌握但不限于JAVA/C++/C/Python/JS/HTML/GO/等编程语言中的一种或数种,有良好的编程习惯
T0: Python/C/C++
T1: Java/Object-C/JS
T2: HTML/GO
T3: PHP/C#/Shell
熟悉 数据结构和算法,操作系统原理,编译原理,计算机体系结构
熟悉掌握汇编语言
- Smali语言
- ARM汇编/X86汇编
熟悉常见网络协议
工具
T0: wireshark Charles
T1: tcpdump Fiddler
协议
- TCP/IP 协议栈
- HTTP/HTTPS 协议
- SSL 协议
熟悉逆向分析
方法
静态分析 动态调试 代码跟踪
工具
T0: Jdax JEB Frida
T1: IDA Pro Ghidra Hopper GDB LLDB cycript Xposed
T2: OllyDbg、WINDBG apktool
熟练使用常见的虚拟机软件Qemu/KVM、VMWare、VirtualBox、XEN中的一种
熟悉常见加解密算法
熟悉 Dex ELF mach-O 文件格式及加载原理
熟悉 Linux 系统和主流数据库
熟悉 Linux 系统安全机制及漏洞原理
熟悉漏洞挖掘、网络安全攻防技术,了解常见黑客攻击手法
熟悉业界安全攻防动态,追踪最新安全漏洞,能够分析漏洞原理和实现PoC编写
具有良好的英文读写能力
校招 + 实习
- 熟悉Fuzzing技术及常见漏洞挖掘工具
- Android开发或iOS开发掌握其中一种
- 了解移动端app的基本攻防技术
- 熟悉Android系统机制
加分
有网络安全实习经验或网络安全大赛(如CTF)经验优先
有定期更新的技术博客,或参与安全相关开源项目并贡献部分代码
对安全攻防、渗透测试(如DDOS攻防、提权等)等相关安全专题有相关项目经历,或具有华为公司系列认证证书(HCIE/HCNP/HCNA)、业界网络安全证书者优先
熟悉Linux、Windows系统内核运行机制优先
有 Windows/Linux 客户端安全攻防的经验
有安全漏洞分析经验
有自动化程序分析实践能力
有数据分析和挖掘经验,对机器学习相关方法有实际应用经验
熟悉AI主流算法适用场景和调参,有实践经验
Scrapy、Selenium等爬虫框架的工作原理
社招
社招
语言要求程度 - 精通
T0 C/C++
T1 Java Python perl
T2 Javascript PHP Go
熟悉 常见的注入、重打包、ROOT工具的原理与防御方法
熟悉各类Hook技术的实现原理以及Hook框架的使用,包括但不限于Xposed/Frida等
了解手机恶意软件工作机理
熟悉ProxyDroid/Mitmproxy等工具的使用
较强的算法能力
了解主流的加解密算法的基本原理与实现
熟悉常见漏洞类型、原理与与利用方法
有较为丰富的反调试,反调用,反hook 等安全研发经验
了解TCP/IP、FTP、HTTP、SOAP、RESTful等常见的网络协议,熟悉TLS、SSH、SNMPv3、IPSEC安全传输协议,理解常见加解密算法及应用场景
熟悉常见端安全保护手段,包括但不限于混淆、加固、调试、注入
熟悉主流Fuzzer工具(AFL、libfuzzer、honggfuzz等等 )及相关技术,有过Fuzzer开发经验
SDK 开发经验
移动端
对移动端漏洞有深入的掌握,能独立挖掘Android/iOS的漏洞
-
Android
熟练使用 Android 模拟器
熟悉Android安全机制和Android底层运行机制(如DVM/ART运行时原理)
熟悉常见Android安全漏洞和检测方法
熟悉APP攻防逆向,包括但不限于:逆向分析、协议破解、设备改机、虚拟多开等。了解hybrid JSbridge等JS与App交互技术实现 -
macOS & iOS
熟悉iOS开发环境,理解Objective-C Runtime运行机制和内存管理机制
扎实的iOS逆向技术,获取私有API,具备绕过驱动保护与相关研究分析能力
了解整个iOS系统架构,对苹果App软件开发有深入了解
熟悉iOS开发、测试、调优工具的使用,熟悉通用静态分析和动态调试技术
熟悉iOS常见的安全攻防方案,了解iOS系统底层实现
有越狱开发经验,了解常见越狱插件实现方式
熟悉Mac OS/iOS相关调试工具,有过逆向分析Mac/iOS系统内核及第三方应用的经验
物联网 + 硬件
熟悉硬件电路构成知识,可以熟练利用硬件调试接口进行安全调试分析
熟悉各种硬件设备常见物联网网络协议和安全协议(TCP/IP, UDP, HTTPS, OAuth, JWT),能够对链路通信安全进行分析
熟练掌握固件逆向分析技术,熟练使用二进制、Android 反编译工具进行分析调试
熟练的代码分析能力,能够快速理解业务逻辑并从中发现安全隐患,并能完成整个利用链
熟悉智能设备无线通讯协议 Wi-Fi/BLE/RF/NFC/ZigBee 等原理,可对其进行安全分析和调试
熟悉常见智能硬件的固件提取、分析和重打包方法
熟悉C51、FPGA、ARM等嵌入式技术,有开源硬件学习和使用经验
熟悉常用的symmetric and asymmetric数据加密算法和certificate signing算法
对车联网体系及其终端设备系统架构有一定掌握和理解
熟悉汽车安全,有CAN总线、ECU、车机系统的安全分析、漏洞挖掘经验
Web
熟悉渗透测试的步骤、方法和流程,能够熟练的使用各种手段进行渗透工作
熟练掌握主流爬取技术,如协议破解、模拟点击等;熟悉掌握常用框架,如Selenium/Puppeteer/Splash等
具备实际爬虫编写能力
熟悉各种爬虫和反爬技术,3年以上相关工作经验
熟悉常见的Web应用攻击和防护手段
熟悉常见Web漏洞及攻击方法,比如:SQL注入、XSS、CSRF等;
熟练掌握各种渗透测试工具并且对其原理有深入了解(Burpsuite、sqlmap、appscan、AWVS、nmap、MSF,cobalt strike等等),能够编写自动化渗透测试工具
熟悉JS,浏览器原理,具备前端混淆和逆向分析能力
具备良好的前端分析能力,包括但不限于:JS防护、混淆等
其他
熟悉Windows系统原理,熟悉Windows平台常见取证方法和工具
熟悉常见的Kernel/Android系统漏洞利用原理,可输出相应的缓解措施
熟悉Windows、Linux系统机制,了解常见的恶意代码编程技术
具有一定的恶意代码分析调试经验
加分
精通VMP保护处理
精通代码保护
熟悉O-LLVM/VMP等代码加固/混淆手段及其应对方法
熟悉LLVM框架
有Unity、UE、Cocos等各类游戏引擎的攻防经验优先
熟悉Ghidra框架、IDA Pro MicroCode
各类标准与非标准网络协议的分析经验
熟悉常见网络攻击手段及验证方法,有渗透测试经验者优先
熟悉TLS协议等安全通信的优先
有模拟器定制或沙箱开发经验者优先
有无线通信开发调试和安全分析的经验者优先,如熟悉WiFi、蓝牙等无线协议的安全漏洞
有RTOS、Android内核、Linux系统安全经验者优先
了解JS语法,有分析及使用过ReactNative/weex等框架优先
熟悉Linux内核源码者优先
安全执行环境:深入理解Trustzone技术,熟悉GP TEE架构
操作系统安全:拥有系统安全实战经验,如Kernel、Android、IOS等,理解各系统实现方案的优劣
有信息安全相关资质证书优先考虑,如CISSP、CISP等
通用加分
多平台恶意代码分析经验(Linux、Android、macOS等)
发表过有深度的技术文章或独立挖掘过知名开源应用/大型厂商高危漏洞经历
有CTF比赛经验、有独立提交高风险漏洞获得CVE经验者优先
挖掘过系统软件、网络设备等漏洞者优先,有过漏洞分析文章或议题演讲者优先,开发过漏洞挖掘工具者优先
编写过Fuzzer工具或者exploit代码
有国际视野、英语流利者、能将英文作为工作语言者优先
声明
此资料仅针对本人,如有需要,请自取,无效无责
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!