Web安全岗位工作职责范本.docx

GL实用范本|DOCUMENTTEMPLATE

第PAGE2页/共NUMPAGES2页

岗位说明书

岗位说明书系列

Web安全岗位工作职责

（标准、完整、实用、可修改）

编号：FS-QG-28733

Web安全岗位工作职责

WebSecurityJobResponsibilities

说明：为规划化、统一化进行岗位管理，使岗位管理人员有章可循，提高工作效率与明确责任制，特此编写。

简介:随着Web2、0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

Web安全职位描述(模板一)

岗位职责:

1、负责公司网站、app的上线前代码审计与安全测试;

2、参与项目安全评审，及时提出安全缺陷与改进建议;

3、参与WEB代码开发安全规范的制定、推广、评审;

4、推动代码自动化安全扫描等，提高安全测试的覆盖率和效率;

5、跟踪必威体育精装版漏洞和验证漏洞。

任职要求:

1、熟悉常见web安全漏洞分析与防范，包括SQL注入、XSS、越权等OWASP10安全风险及对应的解决方案;

2、掌握渗透测试的步骤、方法、流程，熟练使用国内外主流安全工具的使用，如kalilinux、BurpSuite等;

3、具备对网站代码进行手动的黑盒测试或白盒代码审计能力;

4、掌握一门以上的脚本语言，能自行定制开发小工具;

5、熟悉linux系统安全和常见开源安全软件的安装调试;

6、了解Linux、web服务器、数据库安全配置和加固。Web安全职位描述(模板二)

岗位职责:

1、配合推进Web安全体系建设(如:上线前安全检查、自动化漏洞扫描、完善上线流程等);

2、负责对新上线业务系统或活动进行渗透测试(包括IDC或办公网)。

任职要求:

1、3年以上渗透测试经验，能独立完成渗透测试工作;

2、熟悉主流渗透测试和扫描工具，如IBMAppScan/HPInspect/Nessus/Awvs等;

3、熟悉常见黑客攻击手法、原理、防护、绕过方法，包括但不限于:sql注入/跨站/文件包含/命令执行/WAF绕过等;

4、熟悉PHP/Java/Python中任意一种语言，能独立开发一些安全软件。Web安全职位描述(模板三)

岗位职责:

1、推动公司SDL流程落地;

2、负责WEB业务的各类安全需求响应，如方案评审、技术评估等;

3、参与各类WEB安全服务(自动扫描、代码检查、安全组件、防护策略等)的设计、开发;

4、参与安全事件应急响应。

任职要求:

1、有一定渗透测试能力和经验;

2、具备代码审计经验;

3熟悉互联网系统的常见架构;

4、有解决各类WEB安全风险的经验;

5、至少会使用python/php/golang/perl/ruby/java中的一种语言开发;

6、熟练使用Linux/Unix系统;

7、本科及以上学历。Web安全职位描述(模板四)

岗位职责:

1、梳理不同业务、不同功能点可能存在的被绕过、利用业务安全漏洞;

2、挖掘业务层面的逻辑、规则等漏洞，如运营活动、羊毛党分析等;

3、通过机器学习/人工智能技术进行网络安全或业务风控分析等;

4、引入新技术，更好地解决传统网络安全中的各类风险，如数据安全、异常检测等。

任职要求:

1、熟悉渗透测试的步骤、方法、流程，熟练掌握各种渗透测试工具;

2、具有渗透测试能力，掌握网络安全攻防知识，具有分析研究安全漏洞的能力;

3、熟悉攻击的各类技术及方法，对各类操作系统、应用平台的弱点有较深入的理解;

4、精通常见的Web漏洞原理、防范方法和审计方法，包括DDos攻击、SQL注入、XSS、CSRF等OWASPTOP10安全风险;

5、精通1-2种编程语言，如php、JavaScript、jsp、python等，能够漏洞检测和分析，编写利用程序。Web安全职位描述(模板五)

岗位职责:

1、负责WEB产品安全测试和安全事件应急响应;

2、负责WEB产品和工具的设计、安全风险评估与解决方案设计。

任职要求:

1、熟练掌握Java、Python、JS等一种或几种程序语言;

2、熟悉Java、PHP等常见的WEB开发框架及应用开发流程;

3、精通JAVA、P