职位概要
支持在阿联酋航空集团企业的网页、移动端和厚客户端应用程序中执行漏洞评估和渗透测试活动。在高级分析师的指导下,协助识别、验证和记录安全弱点,如身份验证缺陷、业务逻辑错误和新兴威胁。为内部自动化框架的开发做出贡献,与技术团队合作沟通发现结果,并推动补救工作以改善组织的整体安全态势。
在此角色中,您将:
- 支持准备和执行对内部和外部网页、移动端和厚客户端应用程序的漏洞评估和渗透测试,使用自动化工具和手动测试技术识别和验证安全弱点。
- 分析和记录安全发现,包括身份验证绕过、竞争条件、支付逻辑缺陷和与AI相关的风险等关键漏洞,确保向相关利益相关者清晰传达技术细节和补救指导。
- 支持内部自动化框架和自定义脚本的开发和维护,以提高漏洞发现和报告过程的效率和覆盖率。
- 与IT、开发和保障团队合作,跟踪已识别漏洞的补救情况,必要时提供澄清,并在应用程序和基础设施安全中推广最佳实践。
- 通过参与持续学习、研究新攻击技术以及为团队知识共享和流程改进计划做出贡献,保持对行业趋势和新兴威胁的最新了解。
资格
要考虑此职位,您必须满足以下要求:
资格与经验:
- 相关IT学科的学位,最好是计算机科学、工程或同等IT相关学科的学士学位或同等经验。具有网络安全保障或相关领域的经验(信息技术经验3年以上)。
知识/技能:
- 对网页、移动端和厚客户端应用程序的渗透测试原则、方法和工具有深入理解。
- 熟练识别和验证应用程序漏洞,如身份验证绕过、竞争条件、支付逻辑缺陷、SQL注入和与AI相关的安全风险。
- 熟悉行业安全框架和标准(如ISO/IEC 27001、NIST、OWASP Top 10)。
- 拥有漏洞评估工具和手动测试技术的实践经验,以及支持自动化和分析的基本脚本编写(Python、Bash或PowerShell)。
- 能够清晰地向技术和非技术利益相关者分析、记录和传达技术发现,包括准备详细报告和补救指导。
- 了解网络安全概念、协议和架构,包括流量流动和潜在攻击向量。
- 了解当前和新兴的网络威胁、攻击技术和进攻性安全趋势。
- 具备较强的分析思维、注重细节、问题解决能力,并致力于持续学习和专业发展。
