我们正在寻找高技能且积极进取的安全研究专家,加入一个专注于分析开源软件中崩溃输入的项目。
成功的候选人将负责分类崩溃,识别安全漏洞,评估其实际影响,并开发概念验证(PoC)漏洞利用。这一角色需要对漏洞研究、逆向工程和漏洞开发有深刻理解。
职责:
- 分类和验证崩溃报告以确定其安全相关性。
- 对复杂软件漏洞进行深入的根本原因分析。
- 评估漏洞的可利用性并确定其潜在影响。
- 为确认的安全漏洞开发可靠的PoC漏洞利用。
- 清晰简洁地记录所有发现,包括根本原因、重现步骤和安全影响。
主要要求:
- 在漏洞研究、逆向工程和漏洞开发方面有丰富经验。
- 深刻理解常见的漏洞类别,尤其是内存破坏错误(例如,缓冲区溢出、使用后释放、类型混淆)。
- 熟练使用调试和分析工具,如GDB、WinDbg、IDA Pro或Ghidra。
- 拥有使用动态分析工具和检测器(例如,ASan、UBSan、Valgrind)的实践经验。
- 熟悉现代漏洞利用缓解技术(例如,ASLR、DEP/NX、栈金丝雀、CFI)。
- 对操作系统内部、内存管理和计算机架构有扎实的理解。
- 出色的书面和口头沟通能力,能够撰写清晰全面的技术文档。
后勤:
薪资范围:
$55 - $75/小时,视经验而定
预期每周工作时间:10-40小时
地点要求:
远程,全球(优先考虑美国)
