我们正在寻找技术娴熟且积极进取的安全研究专家,加入一个专注于分析开源软件崩溃输入的项目。成功的候选人将负责分类崩溃、识别安全漏洞、评估其实际影响,并开发概念验证(PoC)漏洞利用。这一角色需要对漏洞研究、逆向工程和漏洞开发有深入的理解。
🧠 职责:
- 分类和验证崩溃报告以确定其安全相关性。
- 对复杂软件漏洞进行深入的根本原因分析。
- 评估漏洞的可利用性并确定其潜在影响。
- 为确认的安全漏洞开发可靠的PoC漏洞利用。
- 清晰简洁地记录所有发现,包括根本原因、重现步骤和安全影响。
✅ 主要要求:
- 在漏洞研究、逆向工程和漏洞开发方面有丰富经验。
- 对常见漏洞类别有深入理解,特别是内存损坏错误(例如,缓冲区溢出、释放后使用、类型混淆)。
- 熟练使用调试和分析工具,如GDB、WinDbg、IDA Pro或Ghidra。
- 拥有动态分析工具和检测器的实际操作经验(例如,ASan、UBSan、Valgrind)。
- 熟悉现代漏洞缓解技术(例如,ASLR、DEP/NX、栈金丝雀、CFI)。
- 对操作系统内部结构、内存管理和计算机架构有扎实的理解。
- 优秀的书面和口头沟通能力,能够撰写清晰全面的技术文档。
🌍 后勤:
薪资范围:每小时$55 - $75,视经验而定
预计每周工作时间:10-40小时
地点要求:远程,全球(优先考虑美国)
