简介：随着Web2、0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

Web安全职位描述（模板一）

岗位职责：

1、负责公司网站、app的上线前代码审计与安全测试；

2、参与项目安全评审，及时提出安全缺陷与改进建议；

3、参与WEB代码开发安全规范的制定、推广、评审；

4、推动代码自动化安全扫描等，提高安全测试的覆盖率和效率；

5、跟踪最新漏洞和验证漏洞。

任职要求：

1、熟悉常见web安全漏洞分析与防范，包括SQL注入、XSS、越权等OWASP10安全风险及对应的解决方案；

2、掌握渗透测试的步骤、方法、流程，熟练使用国内外主流安全工具的使用，如kali linux、BurpSuite等；

3、具备对网站代码进行手动的黑盒测试或白盒代码审计能力；

4、掌握一门以上的脚本语言，能自行定制开发小工具；

5、熟悉linux系统安全和常见开源安全软件的安装调试；

6、了解Linux、web服务器、数据库安全配置和加固。

Web安全职位描述（模板二）

岗位职责:

1、配合推进Web安全体系建设（如：上线前安全检查、自动化漏洞扫描、完善上线流程等）；

2、负责对新上线业务系统或活动进行渗透测试（包括IDC或办公网）。

任职要求：

1、3年以上渗透测试经验，能独立完成渗透测试工作；

2、熟悉主流渗透测试和扫描工具，如IBM AppScan/HP Inspect/Nessus/Awvs等；

3、熟悉常见黑客攻击手法、原理、防护、绕过方法，包括但不限于：sql注入/跨站/文件包含/命令执行/WAF绕过等；

4、熟悉PHP/Java/Python中任意一种语言，能独立开发一些安全软件。

Web安全职位描述（模板三）

岗位职责：

1、推动公司SDL流程落地；

2、负责WEB业务的各类安全需求响应，如方案评审、技术评估等；

3、参与各类WEB安全服务（自动扫描、代码检查、安全组件、防护策略等）的设计、开发 ；

4、参与安全事件应急响应。

任职要求：

1、有一定渗透测试能力和经验 ；

2、具备代码审计经验；

3 熟悉互联网系统的常见架构；

4、有解决各类WEB安全风险的经验；

5、至少会使用 python/php/golang/perl/ruby/java 中的一种语言开发；

6、熟练使用Linux/Unix系统；

7、本科及以上学历。

Web安全职位描述（模板四）

岗位职责：

1、梳理不同业务、不同功能点可能存在的被绕过、利用业务安全漏洞；

2、挖掘业务层面的逻辑、规则等漏洞，如运营活动、羊毛党分析等；

3、通过机器学习/人工智能技术进行网络安全或业务风控 分析等；

4、引入新技术，更好地解决传统网络安全中的各类风险，如数据安全、异常检测等。

任职要求：

1、熟悉渗透测试的步骤、方法、流程，熟练掌握各种渗透测试工具；

2、具有渗透测试能力，掌握网络安全攻防知识，具有分析研究安全漏洞的能力；

3、熟悉攻击的各类技术及方法，对各类操作系统、应用平台的弱点有较深入的理解；

4、精通常见的Web漏洞原理、防范方法和审计方法，包括DDos攻击、SQL注入、XSS、CSRF等OWASP TOP 10安全风险；

5、精通1-2种编程语言，如php、JavaScript、jsp、python等，能够漏洞检测和分析，编写利用程序。

Web安全职位描述（模板五）

岗位职责：

1、负责WEB产品安全测试和安全事件应急响应；

2、负责WEB产品和工具的设计、安全风险评估与解决方案设计。

任职要求：

1、熟练掌握Java、Python、JS等一种或几种程序语言；

2、熟悉Java、PHP等常见的WEB开发框架及应用开发流程；

3、精通JAVA、PHP源代码审计，漏洞利用原理及相应的修复方案。