作为应用安全团队的一员,您将参与技术风险计划,以支持对应用程序的攻击性安全评估,并为关键项目提供专家指导。
应用攻击安全顾问负责提供技术指导并对应用程序进行安全评估。此角色的人应具备对应用安全测试、红队/对抗性参与和渗透测试及相关开发专业知识的良好理解,以指导项目计划,确保采用最佳安全实践。
• 这是一个混合角色,每周需要在现场工作3天*
您的主要职责:
• 对应用程序和API执行红队测试。
• 执行应用程序威胁狩猎以评估应用程序的风险。
• 对应用程序进行手动(非自动化)安全测试。
• 在使用手动方法和工具进行测试后,以预定义的报告格式提供漏洞信息。
• 生成评估结果报告并总结以促进修复,记录安全评估期间发现的技术问题。
• 成为主题专家并响应与应用防御增强相关的任何安全工程问题/请求。
• 与安全架构师、产品经理、风险经理和其他团队合作,交付高质量产品。
• **注意:此角色的职责不限于上述细节**
成功所需的才能:
• 至少6年相关经验
• 学士学位和/或同等经验
成功所需的才能:
• 至少6年应用安全测试经验
• 至少4年红队参与经验
• 至少4年使用应用安全测试工具(如Burp Suite Professional和Owasp Zap)的经验
• 能够手动测试并利用现有资源策略
• 能够向任何受众解释OWASP Top 10和SANS Top 25中的漏洞和弱点,并讨论有效的防御技术
• 理解MITRE框架和对抗性方法
• 能够绕过控制措施和/或测试配置错误的对策
• 能够在压力下工作,进行多任务处理并保持灵活性
• 获得OSCP或GWAPT或相关攻击性安全/红队认证
• *这不是一个渗透测试角色。它超出了传统渗透测试的范围*
