工作职责:
1. 负责集团业务(注册登录、营销活动、爬虫等)的风控攻防演练,以攻击者视角对风控规则、策略模型及设备指纹等防御系统进行黑/白盒测试,挖掘防御短板。
2. 针对API接口进行深入的安全测试,挖掘越权、数据泄露等业务逻辑漏洞,重点评估抗爬虫、抗撞库、抗自动化攻击的能力。
3. 监控并分析黑灰产最新的攻击手法、工具(如改机、群控、自动化脚本等),还原攻击链路,并转化为内部防御方案。
4. 对Web端、移动端进行逆向分析,挖掘端侧风控SDK的绕过风险或协议漏洞。
5. 协同策略与研发团队推动漏洞修复,协助建设更完善的风控感知与防御体系。
1. 本科及以上学历,2年以上渗透测试、风控安全或业务安全红蓝对抗经验。
2. 熟练掌握 Python/Go/Java 中至少一门语言,具备编写自动化攻击/测试脚本的能力。
3. 具备较强的逆向分析能力,熟悉 Web端、移动端(脱壳、Hook技术等)逆向者优先。
4. 深刻理解互联网常见的业务风险场景(如薅羊毛、刷单、账号盗用、数据爬取等)及对应的黑灰产攻击工具原理。
5. 加分项:
A.有大型互联网公司从事风控红蓝对抗经验者优先。
B.各大SRC核心白帽子或有CVE编号者优先。
C.熟悉验证码攻防、设备指纹对抗原理者优先。
任职要求:
1. 本科及以上学历,2年以上渗透测试、风控安全或业务安全红蓝对抗经验。
2. 熟练掌握 Python/Go/Java 中至少一门语言,具备编写自动化攻击/测试脚本的能力。
3. 具备较强的逆向分析能力,熟悉 Web端、移动端(脱壳、Hook技术等)逆向者优先。
4. 深刻理解互联网常见的业务风险场景(如薅羊毛、刷单、账号盗用、数据爬取等)及对应的黑灰产攻击工具原理。
5. 加分项:
A.有大型互联网公司从事风控红蓝对抗经验者优先。
B.各大SRC核心白帽子或有CVE编号者优先。
C.熟悉验证码攻防、设备指纹对抗原理者优先。