角色:应用程序安全测试员(渗透测试)
地点:加拿大渥太华
期限:长期
这是应用程序交付团队中的关键角色,负责在整个SDLC中验证应用程序的安全性。
候选人将与架构师、技术负责人、IT安全团队、测试团队和产品负责人密切合作,以了解需求,设计和开发适当的安全滥用案例,执行并生成报告。
职责
- 进行项目所需的安全测试活动的技术范围界定。
- 定义滥用案例,并使用广泛的工具执行安全测试,以发现和利用云、内部和混合环境中的潜在漏洞和弱点。
- 为组织引入适当的工具,并设置相关的测试配置以增强实际测试过程。
- 执行控制和方法论的尝试,以利用已识别的漏洞,模拟真实世界的攻击。手动渗透测试。
- 使用行业标准OWASP ASVS、NIST、PCI DSS进行应用程序安全评估。
- 分析和理解漏洞的影响和严重性。确定这些漏洞可能导致的风险和后果。
- 记录发现和补救建议,并与安全咨询团队和架构师合作,确保漏洞发现得到成功和有效的解决。
- 提供关于实施和/或改进安全软件开发流程的指导。
- 了解最新的安全漏洞、技术和行业最佳实践。
- 典型的安全测试活动:
- 对我们的网络、系统和应用程序进行全面的渗透测试和漏洞评估。
- 进行应用程序的漏洞评估以识别潜在的安全风险。这涉及使用各种行业工具,如Burp、Kali Linux、nmap、ZAP、Metasploit、wireshark、SQLMap、模糊测试工具和其他开源工具。
- 软件/网页应用程序渗透测试
- API渗透测试
- 移动应用程序渗透测试
- 网络渗透测试
- SAST和DAST
要求
- 计算机科学或相关领域的学士学位
- 候选人应具有5年以上的应用程序安全测试经验
- 具有安全和架构测试及开发框架的经验,如开放Web应用程序安全项目(OWASP)、开源安全测试方法手册(OSSTMM)、渗透测试执行标准(PTES)、信息系统安全评估框架(ISSAF)和NIST SP800-115
- 熟悉安全测试技术,如威胁建模、网络发现、端口和服务识别、漏洞扫描、网络嗅探、渗透测试、配置审查、防火墙规则审查、社会工程、无线渗透测试、模糊测试和密码破解,并能够从各种对抗性视角(白盒、灰盒、黑盒)执行这些技术
- 具有发现、利用和可能编写漏洞利用程序的经验,如缓冲区和堆栈溢出
- 熟悉安全测试的后勤工作,如获取测试授权、报告、发现的风险分析、数据处理和法律考虑。
- 认证的道德黑客(CEH);GIAC认证的渗透测试员(GPEN);进攻性安全认证专家(OSCP);或同等的开发或测试认证(ECSA、CEPT、CPTE、CPTS等)认证
谢谢与问候,
Harshaja
Atlantisitgroup
电子邮件:harshaja@Atlantisitgroup.com
电话:647-953-1625
