高级渗透测试工程师的工作职责:
• 领导并执行全面的渗透测试和漏洞评估,针对系统、网络、应用程序和基础设施,识别安全弱点。
• 与利益相关者合作,定义渗透测试活动的范围、目标和参与规则。
• 开发并执行先进的渗透测试方法,模拟真实攻击者的战术、技术和程序。
• 领导红队活动,模拟复杂的网络攻击,帮助组织识别其防御机制中的漏洞。
• 分析评估结果,识别、分类和优先处理根据潜在影响和风险的漏洞。
• 与跨职能团队合作,提供清晰且可操作的修复和风险缓解建议。
• 创建详细且全面的渗透测试报告,将技术发现转化为非技术语言,以便利益相关者理解。
• 领导验证安全控制有效性的工作,确保漏洞得到有效修复。
• 根据评估结果,提供专家见解和指导,以改善安全实践、架构和配置。
• 关注新兴威胁趋势、新攻击技术和行业最佳实践,提升渗透测试方法。
• 参与事件响应演练和事件后分析,以提高事件检测和响应能力。
• 领导培训课程并指导初级渗透测试工程师,分享知识并促进团队技能发展。
• 与合规监管团队合作,确保遵循行业法规和标准。
• 与外部合作伙伴和行业社区互动,分享见解,参与研究,并在渗透测试进展中保持领先地位。
所需技能:
高级渗透测试技术:
Web、移动、API、网络/基础设施安全评估。
跨站脚本漏洞 - 存储/持久、反射、DOM 基础、盲(可选)。
• 复杂网络和系统架构知识
• 漏洞评估
• 漏洞利用开发
• Web 应用程序安全评估
• 无线安全测试
• 红队经验
• 报告写作和沟通
工具:
• Metasploit
• Burp Suite
• Wireshark
• Nmap
• Kali Linux
• Metasploit
• Dirsearch
• HTTPX
• Nuclei
• Bloodhound
• PowerView
认证(可选但有益):
• 进攻性安全认证专家(OSCP)
• 认证渗透测试专业人员(CPENT)
• GIAC 渗透测试员(GPEN)
• BSCP(Burp Suite 认证专业人员)
• eWAPT
• eWAPTx
• OSEP
• OSWE
• GXPN
• CREST CRT
• CREST CPSA 
利雅得