Web安全崗位工作職責(zé)范本

GL實(shí)用范本|DOCUMENTTEMPLATE第2頁/共2頁崗位說明書崗位說明書系列Web安全崗位工作職責(zé)（標(biāo)準(zhǔn)、完整、實(shí)用、可修改） 編號：FS-QG-28733Web安全崗位工作職責(zé)WebSecurityJobResponsibilities說明：為規(guī)劃化、統(tǒng)一化進(jìn)行崗位管理，使崗位管理人員有章可循，提高工作效率與明確責(zé)任制，特此編寫。簡介:隨著Web2、0、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

Web安全職位描述(模板一)

崗位職責(zé):

1、負(fù)責(zé)公司網(wǎng)站、app的上線前代碼審計(jì)與安全測試;

2、參與項(xiàng)目安全評審，及時提出安全缺陷與改進(jìn)建議;

3、參與WEB代碼開發(fā)安全規(guī)范的制定、推廣、評審;

4、推動代碼自動化安全掃描等，提高安全測試的覆蓋率和效率;

5、跟蹤最新漏洞和驗(yàn)證漏洞。

任職要求:

1、熟悉常見web安全漏洞分析與防范，包括SQL注入、XSS、越權(quán)等OWASP10安全風(fēng)險及對應(yīng)的解決方案;

2、掌握滲透測試的步驟、方法、流程，熟練使用國內(nèi)外主流安全工具的使用，如kalilinux、BurpSuite等;

3、具備對網(wǎng)站代碼進(jìn)行手動的黑盒測試或白盒代碼審計(jì)能力;

4、掌握一門以上的腳本語言，能自行定制開發(fā)小工具;

5、熟悉linux系統(tǒng)安全和常見開源安全軟件的安裝調(diào)試;

6、了解Linux、web服務(wù)器、數(shù)據(jù)庫安全配置和加固。Web安全職位描述(模板二)

崗位職責(zé):

1、配合推進(jìn)Web安全體系建設(shè)(如:上線前安全檢查、自動化漏洞掃描、完善上線流程等);

2、負(fù)責(zé)對新上線業(yè)務(wù)系統(tǒng)或活動進(jìn)行滲透測試(包括IDC或辦公網(wǎng))。

任職要求:

1、3年以上滲透測試經(jīng)驗(yàn)，能獨(dú)立完成滲透測試工作;

2、熟悉主流滲透測試和掃描工具，如IBMAppScan/HPInspect/Nessus/Awvs等;

3、熟悉常見黑客攻擊手法、原理、防護(hù)、繞過方法，包括但不限于:sql注入/跨站/文件包含/命令執(zhí)行/WAF繞過等;

4、熟悉PHP/Java/Python中任意一種語言，能獨(dú)立開發(fā)一些安全軟件。Web安全職位描述(模板三)

崗位職責(zé):

1、推動公司SDL流程落地;

2、負(fù)責(zé)WEB業(yè)務(wù)的各類安全需求響應(yīng)，如方案評審、技術(shù)評估等;

3、參與各類WEB安全服務(wù)(自動掃描、代碼檢查、安全組件、防護(hù)策略等)的設(shè)計(jì)、開發(fā);

4、參與安全事件應(yīng)急響應(yīng)。

任職要求:

1、有一定滲透測試能力和經(jīng)驗(yàn);

2、具備代碼審計(jì)經(jīng)驗(yàn);

3熟悉互聯(lián)網(wǎng)系統(tǒng)的常見架構(gòu);

4、有解決各類WEB安全風(fēng)險的經(jīng)驗(yàn);

5、至少會使用python/php/golang/perl/ruby/java中的一種語言開發(fā);

6、熟練使用Linux/Unix系統(tǒng);

7、本科及以上學(xué)歷。Web安全職位描述(模板四)

崗位職責(zé):

1、梳理不同業(yè)務(wù)、不同功能點(diǎn)可能存在的被繞過、利用業(yè)務(wù)安全漏洞;

2、挖掘業(yè)務(wù)層面的邏輯、規(guī)則等漏洞，如運(yùn)營活動、羊毛黨分析等;

3、通過機(jī)器學(xué)習(xí)/人工智能技術(shù)進(jìn)行網(wǎng)絡(luò)安全或業(yè)務(wù)風(fēng)控分析等;

4、引入新技術(shù)，更好地解決傳統(tǒng)網(wǎng)絡(luò)安全中的各類風(fēng)險，如數(shù)據(jù)安全、異常檢測等。

任職要求:

1、熟悉滲透測試的步驟、方法、流程，熟練掌握各種滲透測試工具;

2、具有滲透測試能力，掌握網(wǎng)絡(luò)安全攻防知識，具有分析研究安全漏洞的能力;

3、熟悉攻擊的各類技術(shù)及方法，對各類操作系統(tǒng)、應(yīng)用平臺的弱點(diǎn)有較深入的理解;

4、精通常見的Web漏洞原理、防范方法和審計(jì)方法，包括DDos攻擊、SQL注入、XSS、CSRF等OWASPTOP10安全風(fēng)險;

5、精通1-2種編程語言，如php、JavaScript、jsp、python等，能夠漏洞檢測和分析，編寫利用程序。Web安全職位描述(模板五)

崗位職責(zé):

1、負(fù)責(zé)WEB產(chǎn)品安全測試和安全事件應(yīng)急響應(yīng);

2、負(fù)責(zé)WEB產(chǎn)品和工具的設(shè)計(jì)、安全風(fēng)險評估與解決方案設(shè)計(jì)。

任職要求:

1、熟練掌握J(rèn)ava、Python、JS等一種或幾種程序語言;

2