作为一名渗透测试员,您将在评估和加固我们客户的金融科技系统的安全基础设施方面发挥关键作用。您的职责包括发现漏洞、进行渗透测试,并提供战略建议,以增强金融应用和平台的整体安全性。该职位需要负责领导基础设施、网络、云、SDK、Web和移动应用安全性测试的安全评估和渗透测试。职责包括:
• 渗透测试:
• 对金融系统、应用和网络进行彻底和系统的渗透测试,以发现漏洞和潜在的安全风险。
• Web应用程序:对Web应用程序进行安全评估,以发现SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)和安全配置错误等漏洞。评估认证机制和授权控制的有效性。对输入验证和输出编码进行彻底测试,以防止注入攻击;移动应用程序测试;云安全测试;网络基础设施测试
• 确保渗透测试活动明确涵盖组织Web应用程序相关的OWASP十大漏洞。
• 确保渗透测试活动涵盖适用于组织环境的广泛的MITRE ATT&CK战术和技术。
• 进行安全配置基线评估。配置扫描和分析;识别配置错误和漏洞;风险评估;修复建议;持续监控:建议或实施持续监控解决方案,以确保安全配置始终符合规定。
• 对抗仿真威胁情报分析;场景开发;工具选择和配置;凭证访问和权限提升;持久性和隐蔽性;利用和后期利用;社会工程和钓鱼;网络分割评估;检测逃避技术;通过将MITRE ATT&CK战术和技术纳入渗透测试工作中,模拟现实世界的对抗行为。
• 漏洞管理漏洞识别;漏洞评估;优先级确定;缓解计划;控制实施;验证和验证;持续监控
• 威胁建模数据流分析;认证和授权;输入验证;会话管理;数据存储;通信安全;加密控制;错误处理和日志记录;第三方集成
• QWASP十大漏洞
• MITRE ATT&CK资格信息安全或计算机科学学位课程的毕业生。在类似职位上拥有5-7年以上的经验。专业资格(一个或多个):CISSP、CCSP、OSCP、OSCE、GWAPT、GPEN、GXPN、OSEP、OSWE、OSED、CEH。候选人必须具备OSCP认证。深入了解相关的网络安全框架和标准(例如NIST、ISO 27001、PCI DSS、云安全基准)。脚本和编程技能:精通脚本语言(例如Python、Bash)和编程语言(例如C、Java、JavaScript),用于自定义工具开发和任务自动化。深入了解安全编码实践:了解安全编码技术和代码审查过程,以识别软件中的漏洞。在角色中的典型工作日
• 有领导安全/漏洞评估和进行渗透测试的经验。
• 进行渗透测试以发现和利用漏洞。
• 帮助审查、评估和优先处理漏洞。
• 记录发现并有效地向技术团队和高级管理层传达其相关性。
• 为客户制作高质量报告。
• 与开发和基础设施团队密切合作,并在漏洞和减轻风险的最佳方法上充当专家。
• 高级网络分析和取证技能:具备网络流量分析、数字取证和事件响应技能,以了解攻击向量并追踪恶意活动。
• 出色的口头和书面沟通能力,能够向技术和非技术利益相关者有效地报告和解释发现。 
Toronto