資安工程師（滲透測試）

中華資安國際是中華電信集團子公司，自2003年開始資安業務，現為國內頂尖資安公司，唯一多年評鑑A級、客戶指名度最高，同時擁有紅隊與藍隊能力，涵蓋面向最廣，跨足領域多元，包含：Web、行動App、雲端、工控、IoT檢測、無人機...等，至今發表CVE漏洞超過60個。在這裡，你將可以和一群經驗豐富的高手合作交流，團隊具有OSCP、OSEP、OSWE、OSWP、CRT、LPT、GWAPT等證照，且多數為講師等級，我們具有歡樂的工作氛圍、重視生活平衡，入職享有電信集團優惠、生日假、績效獎金、福委會活動等多元福利。擁有一身好武功卻無處發揮？加入我們吧！ 我們正在找尋滲透測試高手，需具備一般/進階檢測技術能力，勇於嘗試各種可能性不怕失敗的抗壓性，良好的時間管理能力。工作目標是幫助我們客戶找出目標網站的弱點，提供修補建議與專業諮詢，讓客戶可以逐年降低企業的資訊安全風險。工作項目包含：滲透測試/源碼檢測/APP檢測/IOT設備檢測： *你需要透過搜尋引擎及資訊蒐集工具，蒐集目標公開資訊、服務、網站架構、系統及軟體版本。 *你可能需要逆向分析APK/IPA，利用除錯工具搜尋重要資訊，找出常見前端與後端伺服器常見弱點。 *你需要熟悉的操作商用弱點掃描工具(如:Nessus、Nexpose、Acunetix、Webinpsect、Fortify、BurpSuite)，閱讀檢測報告，找出常見網頁、應用程式與服務程式弱點。 *你需要手動驗證弱點影響程度，包含SQL Injection、Cross Site Scripting、弱密碼、權限跨越、敏感資訊洩漏、商業邏輯、任意上傳下載、任意程式碼執行。 *你需要面對客戶講解滲透測試修補建議，偶爾需要根據程式語言、作業系統找尋合適修補建議。 *這份工作時常出差(每年3-5個月)，地點以北北基宜桃竹為主。 *你需要因應滲透目標的商用產品、開發環境、語言框架，研究合適的攻擊手法。 滲透能力要求： *你需要熟悉NAT與Bridge特性、Winodws/Linux作業系統特性、常見伺服器語言與作業系統關係。 *你需要如何設定靜態或動態IP、探測路由是否暢通、探測閘道是否暢通、探測網路連線是否正常的能力。 *你可能需要熟悉MOBILE APP除錯與反編譯，熟悉APP常見弱點，會操作function hooking尤佳(如frida)。 *你需要熟悉至少一種主流伺服器端語言與反編譯工具，曾經維護網站應用程式，能寫出安全的程式碼。 *你需要了解至少一種後端/前端網頁開發框架，例如JAVA Spring、JAVA Struts、PHP Laravel、CakePHP、Python Django、Python Flask、ASP.NET core、ASP.NET MVC、Node.js、Vue.js、React.js、AngularJS *你需要熟悉寫入檔案類型RCE弱點(如檔案上傳)的攻擊運作原理、相關技術與利用情境。 *你需要熟悉至少一種腳本語言，曾用來自動化工作流程，曾修改公開POC腳本。 *你需要熟悉資安檢測工具burp/sqlmap/scan tool *你需要具備中等溝通能力，能將滲透測試方法論、常見弱點、修補建議，有條理的解釋給客戶和團隊。 *你需要具備須具備負責任，細心與耐心的人格特質，能依據客戶需求撰寫報告 *你需要具備基礎證照EC-Council CEH、CompTIA PenTest+、CREST CPSA、OSCP。或有把握到職半年內能考到前述同等證照。 *曾在線上靶場受過資安檢測訓練，例如hackthebox、tryhackme、vulnhub、proving gound類似平台。