Обязанности: • Анализ защищенности веб-приложений и информационных систем (blackbox/graybox/whitebox); • Анализ ИБ архитектуры веб-приложений и ИС; • Автоматизация процесса нахождения типовых уязвимостей веб-приложений; • Разработка рекомендаций по устранению уязвимостей и контроль их устранения; • Взаимодействие с командами разработки и Application Security по вопросам устранения уязвимостей; • Проведение аналитики PoC/эксплоит-кодов, используемых для эксплуатации уязвимостей; • Внешнее и внутреннее тестирование на проникновение; • Обработка отчетов исследователей Bug Bounty программ. Требования: • Опыт работы на аналогичной позиции не менее 3-х лет. • Практический опыт проведения тестирования веб-приложений и информационных систем на уязвимости; • Понимание принципов атак на веб-приложения и информационные системы (Cyber Kill Chain, MITRE ATT&CK, OWASP TOP 10, CWE TOP 25); • Навыки анализа исходного кода (Go, Python, C/C++, TS/JS, PHP); • Знание стека TCP/IP и опыт работы со средствами анализа сетевого трафика (Burp Suite, OWASP ZAP, Fiddler, Wireshark); • Понимание принципов работы и технологий веб-приложений (websocket, REST, SOAP и т.д.; CORS, HSTS, SOP, CSP; OpenID, OAuth2 и др.); • Знание фундаментальных принципов построения безопасных информационных систем и технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д); • Опыт участия в Bug Bounty; • Опыт участия во внутренних киберучениях (RedTeam).
Похожие вакансии