该角色将成为我们质量工程与保证(QE&A)实践的一部分。Cognizant的QE&A实践在行业垂直领域拥有超过650个客户,并在全球范围内拥有影响力,是质量工程和保证领域公认的思想领袖。随着企业简化、现代化并保护其遗留环境以适应数字时代,强大的质量工程和保证至关重要。质量需要从端到端的意义上理解,必须跨越遗留系统和数字系统。Cognizant的QE&A正在重新构想QE&A,采用端到端生态系统方法,结合智能和自动化的QA流程。通过这样做,提高质量和速度,以促进更快的业务和技术变革,以及更好的客户体验。
职责
- 收集安全需求,并通过审查设计和接口文档来定义渗透测试范围。
- 准备详细的测试计划、场景和符合CREST和OWASP标准的参与规则。
- 进行API渗透测试(REST、GraphQL、SOAP),重点关注身份验证、授权和业务逻辑缺陷。
- 执行UI/网页应用程序渗透测试,查找如XSS、CSRF、SQL注入和会话管理问题等漏洞。
- 识别并记录安全问题,提供清晰的重现步骤、证据和修复建议。
- 在跟踪工具中提出缺陷,并与开发团队合作以及时解决。
- 定期向利益相关者提供状态更新,并主动升级风险或挑战。
- 准备综合测试报告,包括执行摘要、技术细节和风险评级(CVSS)。
- 支持修复后的重新测试,并验证修复效果。
- 确保符合行业标准(OWASP ASVS、API Top 10、ISO 27001、PCI-DSS)。
- 推荐安全最佳实践,并为测试方法的持续改进做出贡献。
- 在整个参与生命周期中保持强有力的文档和沟通。
所需技能和认证:
- CREST认证(CRT/CPT/CPSA或同等资格)。
- 渗透测试专业知识——在API和UI/网页应用程序渗透测试方面有丰富的实践经验。
- 安全标准知识——OWASP Top 10、OWASP API Top 10、ASVS、CVSS评分和CREST方法。
- 工具熟练度——Burp Suite Pro、OWASP ZAP、Postman、SoapUI、Nmap、Metasploit、SQLMap、jwt-tool、Kali Linux工具集。
- API安全——REST/GraphQL/SOAP测试、OAuth2/OIDC、JWT处理、速率限制和授权缺陷(BOLA/BFLA)。
- 网页应用程序安全——XSS、CSRF、SQL注入、点击劫持、会话管理、CSP/CORS问题。
- 文档和报告——能够创建详细的测试计划、风险日志和清晰的漏洞报告。
- 合规意识——熟悉ISO 27001、PCI-DSS、NIST指南。
在Cognizant,您将体验到在设计、创造力、协作和效率框架内的创新,目标激励和对客户提供最佳服务的热情。
您将加入一个由行业中最具创造力、创新性和敬业精神的人组成的网络,并有充足的机会学习和发展您的职业生涯。
我们的员工因其态度、技能、知识和热情而被选中,但最重要的是,他们相信一切皆有可能。
Cognizant是一个平等机会的雇主,我们欢迎所有申请者,无论种族、肤色、性别、族裔、国籍、宗教或信仰、残疾、年龄、性取向、政治观点或工会会员身份。
