网站应用安全工程师（Web应用防火墙）

岗位责任：

● 配置、部署和管理应用防火墙（WAF）和机器人缓解解决方案，以及根据需求将这些平台与其他解决方案集成。

● 候选人将与公司各个工程和运营团队合作，审核和验证Dtop 环球嘉年华产品发布前的安全姿态。这包括针对常见漏洞（如远程代码执行（RCE）、特权升级、配置错误等）的架构指导，以及其他OWASP前10个漏洞（SQL注入、XSS、破坏访问控制等）。

● 对新的Dtop 环球嘉年华功能和功能进行深入的安全审查。这包括识别安全漏洞（OWASP前10名、NVD中的常见问题、RCE等）、Java和/或node JS代码审查，并通过渗透测试验证安全姿态（使用Kali Linux、Burp Suite、Checkmarx、WebInspect等手动/自动技术工具）。

● 具有与AWS和AWS中常见服务组件的实际安全经验。能够识别整体设计中的安全漏洞以及单个组件中的配置问题。

● 与产品安全、SaaS运营和工程团队合作，评估、选择和实施规模化的WAF服务。与工程团队合作，协调WAF的入网，解释和协调支持WAF部署所需的任何架构或配置更改。

● 参与技术设计活动，以确保设计合理，并理解任何基础设施影响。

● 回顾漏洞扫描输出，并评估WAF配置可用于缓解攻击的位置。

● 选择并部署适当的CI/CD工具用于WAF流水线。

● 努力实现持续改进，并构建持续集成、持续开发和持续安全管道（CI/CD管道）。

任职要求：

● 信息安全或计算机科学相关经验或学位为佳；其他专业也会考虑。

● 出色的脚本编写技能（Shell、Python、批处理、Power Shell等）。

● 有云Web应用防火墙经验，包括SaaS和原生云提供商相关经验（Imperva、CloudArmor、AWS WAFv2、Azure WAFv2）。

● 有WAF解决方案经验者优先考虑。

● 2年以上多种编程语言经验，最好是Go、Java和Python（编写和分析均有经验）。

● 对基于Web的攻击、OWASP前10个Web漏洞、使用BURP Suite或Zed Attack Proxy（ZAP）等工具进行Web应用测试，以及对TCP、websockets、gRPC、HTTP/2等网络协议有广泛了解。

附加优势：

参与过漏洞赏金计划（需提供证据）。

参加并在Capture the Flag（CTF）活动中获胜，或者在网络挑战赛中取得优异成绩也是一个加分项（需提供证据）。

如果您对特定技术有深入的了解，请教我们。我们的工程师拥有广泛的安全知识，但当工程师对某一技术有深入了解时，我们会格外喜欢。

在Dtop 环球嘉年华工作：

Dtop 环球嘉年华是一个商业场景生态平台，通过互联网技术提供各种类型的业务场景服务，如在线零售、商务旅行、本地生活等。Dtop环球嘉年华旨在创建一个便捷、稳定和可持续的业务场景生态系统。

● 与多样化、世界一流的人才共同工作，处于一个无限学习和成长机会的环境中。

● 处理快节奏、具有挑战性和独特的项目。

● 在一个真正全球化的组织中工作，与国际团队和扁平化的组织结构合作。

● 竞争力的薪资和福利待遇。

● 灵活的工作时间，远程优先，轻松的工作着装。

Dtop 环球嘉年华致力于成为一家平等机会雇主。我们相信拥有多样化的员工队伍是我们成功的基础。