本篇文章5723字,读完约14分钟

发表了不同的招聘

信安之路迄今为止是如何发布企业招聘新闻的,确实对企业没什么帮助。 想就业的人会积极收集招聘新闻,不会因为推送而突然想就业。 另一方面,信安之路的目的对于网民来说能够理解的新闻有限,无法表现出团队的状况和未来的迅速发展。 也不能从招聘新闻中提取对自己有用的新闻。 信安之路的目的是帮助安全的劳动者成长和学习。 这样的招聘新闻总是接踵而至。

“招聘新闻如何写?最引起人的招聘广告语”

如果发送招聘新闻真的需要帮助的话,我们以前制定了一个要求。 只有满足我们的要求,才能发送招聘新闻。 具体要求情况是“信安之路对安全圈的贡献”,这是其中的重要新闻。

1、发出招聘的人必须是招聘的直接负责人。 因为只有这样才能真正知道自己要招募什么样的成员。

2、主讲人应当提出征集的诉求。 然后,要和大家分享自己的经验(对安全的理解、对安全工作的建议、安全学习的建议、或者经验等,leader能做的一定是从事多年安全工作的人,没有任何这个要求)。

3、需要招聘的朋友请添加微信myh0st。 确保招募者实际有效,满足上述要求,才能在公众号上正式发表。

这个文案发表后,当时也受到朋友的控诉,给他发了招聘新闻。 当时,他也分享了自己的心得。 招聘新闻很久没发链接了,请看具体建议。

1 .渗透新人成长的建议

1 .挖洞一定要去实战:

光靠漏洞环境不能再现漏洞。 实战和环境不同。

选择实战环境:

(1)漏洞案例:新人首先提出漏洞和挖洞,漏洞案例会收到很多网络漏洞,无论该机构是否在案例中注册,漏洞审计都比较容易通过。

(2)补天:分为公益src和专属src,补天的考核很严格。 此外,只接受在补天注册的制造商的漏洞和大中型制造商的漏洞,其他小站的漏洞一般不会通过审查。 熟悉漏洞案例挖洞后,建议填天挖洞。 建议先挖公益src,再挖专属src。

(3)各大网络src可以在补天专属src上挖洞,基本上可以在各网络src上挖洞,无论大小工厂的src如何都可以尝试。

.掌握使用简单、危害高的逻辑脆弱性:

要提出一般的简单的高危漏洞、脆弱性,必须制造高伤害。

(1)竞争条件不完备(同时抽签、领取、出示等)。

(2)层级越权:一个企业客流量越大,越权泄露客户数据越多,对甲方危害极大。 提交bug时,有时会在泄露顾客数量的线上巡视,有时会有简单的越权,有时会泄露数百万顾客的新闻,但不可以拖动数据(犯罪),也不可以在统计上限和样本上巡视。

“招聘新闻如何写?最引起人的招聘广告语”

(3)各种刷量的逻辑漏洞:如电商优惠券抢劫、社区刷评、人气、视频刷播放次数等。

(4)在测试逻辑漏洞时,观察到响应返回了数据包中的新闻,部分响应在数据包的参数被篡改后,进入下一个逻辑流,使用被篡改的参数通过下一个流提交。

3、学习前端跨域漏洞: jsonp劫持、cors、csp等;

我面试过很多年轻的白帽子,不熟悉前端跨域的脆弱性。 在许多互联网公司jsonp劫持是常见的漏洞,建议学习前端漏洞的挖掘和基本知识。

4 .提出bug必须受到很高的危害

一些栗子:

(1) ssrf :内部网利用越多,危害越大。 要提交漏洞,请不要只扫描我们的系统访问多个系统就提交漏洞。 建议您取得我们应用程序的权限。 我们的应用程序一般漏洞多,弱密码多,造成高危害后提交。

(2)等级溢出:如上所述,遍历有影响的顾客量,例如顾客数据的泄露和篡改、泄露的顾客数据量、可篡改量。

(3) xss :最好能打几个账户的cookie登录,或者接收后台的cookie登录后台,尽量将漏洞升级其影响范围。

(四)其他脆弱性相似,会产生尽可能高的危害和对业务的影响。

(5)多挖掘app漏洞在移动网络时代,很多网络企业90%以上的流量都在app端。

5 .渗透者必须学习如果代码层修复漏洞的话,尽量细化使用哪个函数(即使攻击也要防御)。

例如,指导漏洞修复函数和示例代码的开发修复,后端函数、前端过滤器用于减轻后端服务器的计算压力。

(1)代码层如何修改xss漏洞:后端:用html输出用什么函数过滤,用javascript输出,用什么函数过滤等。 前端为输入创建它们的过滤器。

(2)代码层如何修复sql注入漏洞:后端php代码是什么函数,java代码怎么做? 前端将根据客户的输入创建这些过滤器。

(3)修复水平越权:检查客户的session,不能只检查uid。

(4)其他漏洞的修复相似。 不是一句话修复副本,而是代码层的实现,或者细化逻辑设计,证明逻辑漏洞,证明逻辑,或者可以画出逻辑流程图和副本,便于产品管理者和开发理解。

2 .安全人员必须熟悉企业业务:

甲方安全人员必须知道企业是如何盈利和如何盈利的。 这样,就可以了解直接影响企业利益的业务系统、部门人员,知道这些很重要,提出漏洞涉及优先盈利的业务,修复安全的诉求和漏洞更受重视。 很遗憾,甲方的安全技术人员大多不熟悉企业的业务,不知道企业利润的来源,支持业务的生产系统和各部门的人员。

“招聘新闻如何写?最引起人的招聘广告语”

3 .熟悉渗透后的4个技术方向:

安全开发,安卓逆向,安全产品运维,商业风格。 建议:优先考虑安全开发和安卓的反向

熟悉渗透后,比较容易使用的两个技术方向是安全开发、安卓的相反方向。 渗透者不能只挖掘网络漏洞。 熟悉后,建议学习python开发、php开发(包括代码审计)。 也可以学习安卓的反向,也可以反向、写入、分解安卓app。 做:渗透+安全开发,或者渗透+安卓逆向。

“招聘新闻如何写?最引起人的招聘广告语”

安全运维和业务风控(风控引擎、大数据、ai、机器学习、黑灰产羊毛党对抗等)这些只有有生产环境才能实战,所以建议工作后找机会学习。 在雄厚的客流量、流量、黑灰生产对抗环境中,能够实战成长。

完美的世界安全招募(复印件来自公众号的小议安全)

作者 :完美世界的安全负责人是什么技艺

简介 :甲方安全事业16年来,负责完善的世界安全事业,聚焦安全管理、零信任结构、体系建设、安全结构和安全解体,努力成为不偏不倚、服务型的领导者。

这个安全负责人用自己的公众号发布了不同的招聘新闻。 和我以前的想法一致。 详情请参阅“有硬核安全募集、干货福利、iphone等你持有”。 从中提炼自己的安全定位、部门组织结构、招聘地位定位的分解、入职的完美优势和劣势等分解。 如下所示。

“招聘新闻如何写?最引起人的招聘广告语”

全门的自动定位

一个企业对安全所有门的定位应该是多方位的,从不同角度的安全期望和定位差别很大,直接关系到安全事业的开展,包括

1、对企业安全的定位: 什么都没发生,不花钱应该是很多企业的定位,也是“什么都没发生需要什么,需要什么”的不自然定位。

2、对业务安全的定位: 不要搞我,不要烦我,同样是很多业务部门的呼声,年轻人鼓励合作,注重安全,参见瘟神。

此时,安全对自己的定位非常重要,上面是客观存在的事实,但并不意味着它是正确的。 不同领域对安全的理解不同,安全负责人必须明确。 此时,自己的定位常常决定未来的方向,如果是消防队,最终有可能成为优秀的消防英雄,我们的定位如下。

“招聘新闻如何写?最引起人的招聘广告语”

自我配置: 服务业务、资源集中、统一计划、翻译如果成年人就是业务优先,为了安全不能死业务(是的,我们不是安全第一),资源集中、统一计划因为安全的价格不低,

从结果上看,通过这个定位,每一步都可以得到企业和业务的理解和支持。 目前,我们负责整个集团的安全,通过集中化的平台,低价输出各种安全服务支持业务,提高安全效率,使业务感受到安全和业务方向,得到业务的理解和支持。

“招聘新闻如何写?最引起人的招聘广告语”

所有门组织结构

我理解的安全组织架构没有好坏,没有标准之分,不适合只是不合适。 根据企业环境和快速发展阶段的不同,我们的安全组织体系结构经历了三个阶段:

(1)平面化框架

其实很穷,一些身体安全的一切都需要什么样的组织结构。 这个阶段的优势在于,各自身兼数职,安全运维、渗透、开发混合,大家工作起来都不区分你我,效率不高,但问题是可以消防,但是长期规划不太落地,过了消防阶段之后,

“招聘新闻如何写?最引起人的招聘广告语”

(2)以攻击、防御、开发为模型模式

这个阶段的优势是资源比较充足,所以专家可以工作,但是通常负责人的精力也不足以支撑10多位同学。 在这个阶段,将攻击、防御放在眼里进行分割,首要目的如下。

1、确定职能,由专家保障结果和质量。

2 .通过攻击小组发现问题,攻击促进防御

3、通过防守队伍进行安全建设,建立防护体系,检查进攻效果;

4、通过开发团队出口系统、平台,提供火力支援。

这个模式由来已久,之后的问题也开始凸显出来。 也就是说,评价系统难以落地。 因为安全的监视、响应分散在攻击和防守队伍中,判断自己没有意义。

(3)攻击、防御、检测、双重开发模式

为了弥补审判的问题,在这个阶段进一步分割了团队,使安全检查独立,安全分解、规则维护、事件调查和响应、开发团队也分成了两组。 主要目的如下。

1、形成攻击、防护、检测的三角模型,三个部门可以相互检测促进。

开发分为两组,分别为:

保护系统开发,即我们的零信任架构开发,支持保护系统的建设和提高。

通过检测系统开发,即本公司的soc、sadb、可视化分解等系统开发,支持安全分解能力的提高。

3、满足大家职业快速发展的诉求,对于管理方向的提供在上升空之间,技术方向提供在专业空之间。

招聘职位分解(北京地区)

这是硬核征文。 这里是我们大力招聘的岗位。 在这里,我们将阐述这些岗位的定位和计划。 当然,最好的体验是加入我们。

(1)高级开发工程师

负责零信任系统中非常重要的linux代理、server端的开发。 我们的零信任定位是包括服务器覆盖在内的统一架构的全面覆盖,这个岗位负责重复linux端代理、server端的功能。

游戏领域会遇到真正的apt攻击,也会遇到专业的rootkit,入侵方法。 因为这个岗位对入侵检测技术的对抗有真正的挑战,会从攻击、防御、检测团队那里得到对方的诉求和反馈,从而改善系统。

(2)业务安全工程师

游戏是完美世界的核心业务之一,还有很多其他的网络业务。 这是因为在业务安全上,会遇到账户安全、薅羊毛、漏洞刷分等场景。

这个岗位将利用我们统一拆解平台的能力,协同业务,识别业务风险,建立风控模式,推动开发部门进一步的平台能力。 本部分的任务是改变业务类型,探索规则形成的更常用方法,以及如何发挥安全数据的价值。

(3)风控算法工程师

这个部门是与业务安全工程师合作的部门,负责相关系统的开发。 现有的soc实现了实时、离线、机器学习、soar安全流程组织等能力,但在远程控制方面还很脆弱,要支持业务,需要更丰富、更完整的远程控制模块

此外,通过零信任架构,安全处理数据质量不高的痛点,形成完美的闭环,如何支持这些大量数据的安全分解,更加智能相关,也是其中的挑战。

(4)渗透工程师

负责内网渗透、网上业务安全测试,通过内部红蓝对抗方法,推动安全运营能力的提高,通过攻击检测安全防守、队伍解体能力。

渗透工程师还可以利用部门中的主、被动扫描器、安全资产和网络钓鱼系统提高攻击效率,或将其转换为自动化重复业务推进开发的方法,从而提高攻击测试的效率。

(五)安全运维工程师

负责零信任体系结构的实施、管理和运行。 安全运输维度不是简单的工作,实际上是有挑战性的。 因为攻击队可以在一分钟内突破。 安全保卫小组要面对全组数万套设备、数百套业务系统的安全加固、权限管理、漏洞修复。

安全运维工程师的大方向是将繁琐、重复性的员工转变为自助式和自动化,进而发展为在安全的立场上判断整个业务的环境、发现弱点、设计处理方案。 毕竟,没有人像安全运维工程师那样懂业务。

(6)安全合规工程师

迄今为止,关于合规,我们有自己的想法,所以不是咨询外部顾问,而是所有的合规过程都是我们自己完成的。 这是因为合规应该是安全最基本的要求。 这里的任务是找到业务和合规性的平衡,保证合规性,不影响业务的快速发展。 将合规性诉求纳入安全系统、平台,通过系统支持合规性。

“招聘新闻如何写?最引起人的招聘广告语”

在这个阶段,我们希望将法规遵从性引导到数据安全方面。 法规遵从性定位是针对外部、内部乃至自身,推进法规遵从性标准化、数据安全系统化的项目。

入职的完美优势和劣势的解体

任何选择都有正负之分。 找到适合自己的是最重要的。 这是因为我希望从自己的角度尽可能客观地分解入职完美安全的优势和劣势,有助于你的选择。

(1)劣势

1、超大规模的场景 :不是垄断型头部公司,没有春晚那样数亿人刷的巨大场景,但仍有丰富的场景类型,涉及每个安全行业。 (基础安全、渗透、移动、应急响应、业务安全、黑色生产等)

2、不成熟 :我觉得无论是我自己、系统还是架构,都不如一线大厂,但实际上我们一直在试错,走着改善的道路。

(2)特点

1、讲人文关怀的企业 :应该很少有企业让你每周辞职,去学习。 董事长对员工的成长关怀比起你自己,更促使企业的氛围让大家尝试,试错。

2、理想的安全所有门 :追求卓越,希望真正处理企业的安全问题,提高自己。 这就是为什么诸如零信任体系结构、安全自动组织等新技术具有我们乐于探索和同时落地的能力。

3、平等的工作氛围 :没有森严的等级,有撩人心弦的人际关系,有说话就是完美的文化,也是部门的文化。

4、员工和生活的平衡 :如果没有996,没有强制加班,结果优异,那么和不加班的年末业绩一样,也可以是s级。

5、友好的业务环境[/s2/] :没有山头、车站队,业务普遍对安全给予很大的支持和包容。 (否则零信任体系结构也不会动…; )

总结

对于何艺总写的招聘要求,不管你去不去,或者合不来,你都可以学到一点知识,了解团队的情况。 现在做的案子,面试前可以了解一些情况。 面试时不是知道影响入职的因素,而是可以事先知道。 提高面试效率,减少候选人的面试时间,指导暂时不满足要求的同学,知道自己能往什么方向走。

“招聘新闻如何写?最引起人的招聘广告语”

除了自己的技术能力问题,还可以了解安全队的核心,球队主教练的情况。 毕竟工作时间长,工作是否愉快,和直属领导有很大关系。 我觉得求之不得好的领导。 我觉得这样诚实的上司,招得这么有诚意,团队气氛不会太差。 参加有趣世界安全队的同学,请积极联系。 (以你的能力,你一定能找到联系方法,在此不谈)

标题:“招聘新闻如何写?最引起人的招聘广告语”

地址:http://www.hongyupm.com/gnyw/5989.html