职责描述:对下列某一研究方向的目标进行漏洞挖掘和利用。
1、iOS/MacOS:对系统进行漏洞挖掘,研究相关缓解措施并实现利用;
2、Linux:跟踪主线动态,对Ubuntu等主流发行版进行漏洞挖掘并实现利用;
3、Android:挖掘Android内核与框架层漏洞,实现相关利用;
4、Windows:对Windows系统及主流软件(Office、Exchange等)进行漏洞挖掘并实现相关利用;
5、浏览器:挖掘Chrome/Safari/Edge/Firefox漏洞,实现RCE或沙箱逃逸;
6、虚拟化:挖掘VMware(Workstation/ESXi)、Hyper-V、Qemu/KVM、Docker漏洞,实现虚拟机逃逸;
7、IoT:对流行的家用及企业级设备进行漏洞挖掘和利用。
岗位要求:
1、熟悉上述某一方向的架构实现,深入理解目标的攻击面、漏洞挖掘思路、安全缓解措施以及利用技术;
2、有丰富的逆向、调试经验,熟练使用常见工具,如:IDA、WinDbg、GDB等;
3、熟练掌握C/C++/Python等至少一种语言,熟悉X86或ARM汇编指令,有扎实的编程基础;
4、对漏洞挖掘与利用感兴趣,有热情和自我驱动力,有一定的抗压能力和较强的团队协作精神。
以上职位满足以下至少一项条件者优先录用:
1、参加过天府杯、Pwn2Own等赛事,并成功攻破目标,作为CTF主力选手取得过优秀的成绩。
2、在有影响力的业界会议(学术/工业)上发表论文;
3、有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
4、通过使用/定制/自研工具发现有效漏洞。
1、iOS/MacOS:对系统进行漏洞挖掘,研究相关缓解措施并实现利用;
2、Linux:跟踪主线动态,对Ubuntu等主流发行版进行漏洞挖掘并实现利用;
3、Android:挖掘Android内核与框架层漏洞,实现相关利用;
4、Windows:对Windows系统及主流软件(Office、Exchange等)进行漏洞挖掘并实现相关利用;
5、浏览器:挖掘Chrome/Safari/Edge/Firefox漏洞,实现RCE或沙箱逃逸;
6、虚拟化:挖掘VMware(Workstation/ESXi)、Hyper-V、Qemu/KVM、Docker漏洞,实现虚拟机逃逸;
7、IoT:对流行的家用及企业级设备进行漏洞挖掘和利用。
岗位要求:
1、熟悉上述某一方向的架构实现,深入理解目标的攻击面、漏洞挖掘思路、安全缓解措施以及利用技术;
2、有丰富的逆向、调试经验,熟练使用常见工具,如:IDA、WinDbg、GDB等;
3、熟练掌握C/C++/Python等至少一种语言,熟悉X86或ARM汇编指令,有扎实的编程基础;
4、对漏洞挖掘与利用感兴趣,有热情和自我驱动力,有一定的抗压能力和较强的团队协作精神。
以上职位满足以下至少一项条件者优先录用:
1、参加过天府杯、Pwn2Own等赛事,并成功攻破目标,作为CTF主力选手取得过优秀的成绩。
2、在有影响力的业界会议(学术/工业)上发表论文;
3、有独立挖掘漏洞的经验,获得过主流厂商的CVE编号;
4、通过使用/定制/自研工具发现有效漏洞。
北京
https://360.net/
公司简介
360数字安全集团(三六零数字安全科技集团有限公司)是数字安全的领导者,秉持“上山下海助小微”企业使命,确立安全和AI发展双主线。
在安全领域,为解决国家“看见”高级威胁的卡脖子问题探索形成一套以“看见”为核心的数字安全中国方案,并以“安全即服务”为核心发展理念全面升级360安全云,将近20多年被行业反复验证成功的数字安全运营体系框架,以云化、服务化方式赋能城市、大型企业、中小微企业,帮助其构建应对数字时代复杂威胁的安全能力。
在人工智能领域,360在国家级安全能力基础上,基于类脑框架推出国内首个实现AI实战应用的安全行业大模型:360安全大模型,并实现全线产品矩阵赋能,驱动企业数字安全体系提质增效。为解决大模型安全问题,360提出“可靠、可信、向善、可控”安全四原则,打造“双轮驱动”的大模型安全解决方案框架,将360大模型安全核心能力输送给千行百业。
截至目前,360累计捕获54个境外APT组织,监测到6200多次对我国20000多家重要机构单位的高级网络攻击事件;360数字安全中国方案已落地超20个大中型城市,涵盖四大直辖市和部分省会城市,树立了标志性的城市级安全服务典范;同时,覆盖了超过90%的中央部委、80%央企、95%大型金融机构和100%的运营商,累计服务超10000家政企客户。
除此之外,360已连续八年支撑国家级网络攻防实战演习,一直是国家重大政治、经济活动的核心网络安全保障力量。在两会、二十大、九三阅兵、“一带一路”峰会、G20、金砖会议、APEC、七十周年庆典、2022年北京冬奥会等活动的重保工作,以及国家安全和国防安全相关工作中发挥了重要保障作用。
在安全领域,为解决国家“看见”高级威胁的卡脖子问题探索形成一套以“看见”为核心的数字安全中国方案,并以“安全即服务”为核心发展理念全面升级360安全云,将近20多年被行业反复验证成功的数字安全运营体系框架,以云化、服务化方式赋能城市、大型企业、中小微企业,帮助其构建应对数字时代复杂威胁的安全能力。
在人工智能领域,360在国家级安全能力基础上,基于类脑框架推出国内首个实现AI实战应用的安全行业大模型:360安全大模型,并实现全线产品矩阵赋能,驱动企业数字安全体系提质增效。为解决大模型安全问题,360提出“可靠、可信、向善、可控”安全四原则,打造“双轮驱动”的大模型安全解决方案框架,将360大模型安全核心能力输送给千行百业。
截至目前,360累计捕获54个境外APT组织,监测到6200多次对我国20000多家重要机构单位的高级网络攻击事件;360数字安全中国方案已落地超20个大中型城市,涵盖四大直辖市和部分省会城市,树立了标志性的城市级安全服务典范;同时,覆盖了超过90%的中央部委、80%央企、95%大型金融机构和100%的运营商,累计服务超10000家政企客户。
除此之外,360已连续八年支撑国家级网络攻防实战演习,一直是国家重大政治、经济活动的核心网络安全保障力量。在两会、二十大、九三阅兵、“一带一路”峰会、G20、金砖会议、APEC、七十周年庆典、2022年北京冬奥会等活动的重保工作,以及国家安全和国防安全相关工作中发挥了重要保障作用。
