全球安全会议 / 赛事 / 活动，差旅无限报销

圈子好友聚会无限报销

实验室岗位拒绝 OKR，KPI...

研究资源重度倾斜

16 天超长带薪年假，鼓励配合公共假期一起休

实验室岗位每周 4 天来公司，1 天居家办公

... ...

   推荐成功入职送  apple vision pro 

还在开放的岗位：

• 移动安全研究员（Android 方向）

• 移动安全研究员（应用层方向 ）
  

• 工控 / 物联网 / 网络设备 / 安全研究员

• 区块链安全研究员

• Web 漏洞研究员（php/java）

• 高级渗透测试工程师

简历投送邮箱：hr@numencyber.com

下面是岗位的详细信息

移动安全研究员（Android 方向）

工作职责

1. 负责漏洞挖掘平台的研发与改进；

2. 负责漏洞利用新技术研究；

3. 跟踪全球最新安全动态，了解最新的攻击技术，完成分析报告。

任职要求

1. 了解 Android 基本安全机制与功能：root、SELinux、APK 签名、锁屏、手机解锁、指纹支付、OTA 等;

2. 熟悉常见漏洞原理：对堆溢出、UAF、进程注入、提权等，有成功的漏洞挖掘 / 利用经验；

3. 熟悉操作系统原理，了解 ARM 架构；熟悉 Java/C/C++ 开发，了解打包、反编译、破解流程；熟悉脱壳、混淆对抗；熟悉 Ollvm 混淆、有实际的对抗经验和成熟的对抗方案；熟悉 Android 设备指纹、环境分析对抗；

4. 其他加分安全技术：密码学、安全协议、逆向工程、Fuzzing；

5. 在相关领域顶级会议、期刊上发表过论文者优先考虑；

6. 有厂商致谢优先。

移动安全研究员（应用层方向）

工作职责

1. 负责漏洞挖掘平台的研发与改进；

2. 负责移动客户端安全漏洞、风控策略的分析、挖掘和漏洞利用新技术研究；

3. 跟踪全球最新安全动态，了解最新的攻击技术，完成分析报告;
   

4. 持续跟踪、借鉴业界领先的安全技术成果和最佳实践，引入安全攻防技术方法与工具，并在测试验证项目中落地。

任职要求

1. 对 Android 基础安全有深入的了解，包括但不限于框架层、TEE、系统及预置 App、Bootloader 等攻击面，能够深入挖掘潜在的攻击点；

2. 熟练掌握 ARM/ARM64 汇编语言，对 TEE TA 有深入的认识，以及熟练的 JAVA/C++ 编程技能；

3. 对 Android Framework 框架及其运作方式，Dalvik/ART 虚拟机原理有深刻的理解；

4. 具备对智能设备固件和通讯协议进行逆向分析的能力；

5. 掌握 ARM 汇编、ELF 结构，熟悉静态分析、HOOK 等逆向工程技巧；

6. 熟练使用常见的逆向工具和框架，如 Apktool、dex2jar、IDA、JEB、Frida、Xposed、Jadx、Drozer、MobSF、Wireshark、Fiddler 等；

7. 熟悉 Android 框架和 JNI，能够熟练使用 NDK 独立编写 Android 应用程序和 Native 原生程序；

8. 至少熟练掌握一种编程语言，如 Java、Python、Shell、C 等。

工控 / 物联网 / 网络设备 / 安全研究员

工作职责

1. 物联网通用协议、组件、操作系统漏洞挖掘与漏洞复现；

2. 物联网设备漏洞挖掘与漏洞复现；

3. 参与创新物联网安全研究项目；

4. 分析研究嵌入式 IoT 设备（路由器、摄像头）或工控 PLC 等固件的漏洞。

任职要求

1. 至少需 2 年工作经验；

2. 熟练 qemu 模拟 / 仿真，熟悉嵌入式系统 wifi，蓝牙，Zigbee，LTE，NB-IOT，5G 等攻击面，对可挖掘攻击面有较为深入的理解；

3. 熟练固件提取，精通 armv7/v8 shellcode 撰写，熟悉 MIPS 指令；

4. 较为熟练 linux 内核 /Android 内核堆漏洞利用，包括不限于跨缓存攻击 / 物理页 uaf 等；

5. 对未知领域和工控安全具有强烈爱好，愿意在该方向深耕。

加分项

1. 有独立挖掘漏洞的经验，获得过主流厂商的 CVE 编号；

2. 参加过 Pwn2Own、天府杯等赛事，并成功攻破目标；

3. 在有影响力的业界会议（学术 / 工业）上发表论文；

4. 有独立挖掘漏洞的经验，获得过主流厂商的 CVE 编号；

5. 通过使用 / 定制 / 自研工具发现有效漏洞；

6. 作为 CTF 主力选手取得过优秀的成绩。

区块链安全研究员

工作职责

1. 负责区块链安全研究和代码安全审计；

2. 探索区块链和其他前沿技术，并提前规划布局和实施；

3. 负责区块链相关的漏洞挖掘和分析，如交易所、钱包、智能合约等。

任职要求

1. 5 年或以上经验；

2. 精通 Golang /C++ /JavaScript/ Java /Python /Rust 中的一种或多种编程语言；

3. 在至少一个安全领域具备漏洞挖掘和分析技能；

4. 对新技术敏感和感兴趣，对区块链安全技术有浓厚兴趣；

5. 熟悉比特币和以太坊等主流区块链技术及相关机制原理；

6. 熟悉零知识证明（ZK）技术及相关机制原理；

7. 对不同类型的软件有最新的了解，并在任何操作系统、软件（二进制或 Web）应用程序或区块链上进行漏洞发现的经验。

Web 漏洞研究员（php/java）

工作职责

Web 方向漏洞挖掘、研究、武器化落地

1. 关注全球最新的漏洞，并对高危漏洞进行分析和调试，编写 poc & exp；

2. 对各类通用应用系统或框架组件、中间件等进行漏洞挖掘。

任职要求

1. Web 安全基础扎实，对常见漏洞的原理和利用有较深入的理解；

2. 熟悉 PHP、Java、Dotnet、Python、Go、JavaScript 中至少两门主流语言，熟悉框架、SDK 底层代码；

3. 熟悉 SAST 相关工具，如 CodeQL；

4. 对漏洞挖掘与利用感兴趣，有快速学习和自我驱动力，有较强的团队协作精神。

加分项

1. 有独立漏洞挖掘、完整利用编写经验；

2. 获得过主流厂商的致谢，如 Apache、Oracle、VMware （VCenter、Horizon）、Struts2、Spring、Wordpress 等；

3. 提交过高质量 CVE 漏洞或独立编写过有深度的漏洞分析文章优先。

高级渗透测试工程师

工作职责

1. 跟踪关注全球安全领域的安全动态；

2. 对客户业务进行深度渗透，发现从互联网到业务的完整攻击链条。

任职要求

1. 熟悉常见的渗透手段，包括但不限于情报整合、边界打点、权限维持、建立隧道、内网移动等；

2. 熟练掌握主流网络、应用、系统攻击技术及常用工具；熟悉常见安全漏洞原理及利用；

3. 熟练掌握 ATT&CK 各环节关键技术、工具使用和思路；

4. 对 EDR 等安全设备有较深入的研究和 Bypass 经验。

加分项

1. 拥有大型企业内外网完整渗透测试经验，对 APT 有深入研究或有实践经验;

2. 有较多内外网渗透经验或对工作组 / 域中的对抗有深入研究;

3. 有大型网络安全竞赛获奖经历 / 挖掘过高质量漏洞 / 发表过深度技术 Paper;

4. 有在围绕渗透测试所需的技能栈中的某一领域，极具竞争力的。