Обязанности:
ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ: Участвовать в проектах по тестированию веб-приложений и API И/ИЛИ тестированию мобильных приложений и API: поиск уязвимостей в ручном и автоматизированном режиме, верификация и эксплуатация обнаруженных уязвимостей, построение цепочек и сценариев атак Проводить статический анализа исходного кода приложений (как с применением SAST-инструментария, так и ревью кода) Участвовать в ревью технических отчетов других специалистов Документировать проделанную работу и результаты тестирования по согласованной структуре ОТКЛИКАЙСЯ НА ЭТУ ВАКАНСИЮ, ЕСЛИ: Имеешь высшее техническое образование и не менее года опыта в тестировании приложений Обладаешь уверенными знаниями сетевых технологий (cтек TCP/IP, модель OSI) Отлично знаешь методологии тестирования (OSSTM, PTES, OWASP) Обладаешь продвинутыми навыками работы с базовыми инструментами. Для веб-специалиста: BurpSuite, Nmap, Dnsrecon, Amass, Zmap, Metasploit Framework, OWASP ZAP, Nuclei, ffuf. Для мобильного специалиста: mLogCat, dex2jar, Veracode, Xposed Framework, Frida с кастом-скриптами, ADB, Fridump, Drozer Умеешь выполнить сложные атаки на веб-приложения (cache poisoning, smuggling), эксплуатировать уязвимости на стороне клиента (DOM-based, prototype pollution, пр.) Обладаешь навыками программирования (Python/Go/PHP/C++/др.) и умеешь самостоятельно создавать и/или дорабатывать полезные нагрузки Понимаешь риски и типовые уязвимостей веб-приложений, сетей и ОС Понимаешь текущие угрозы, атаки и методы их обнаружения Имеешь способность документировать результаты тестирования БУДЕТ ЗДОРОВО, ЕСЛИ ТЫ: Умеренно знаешь не менее 3х языков программирования и широкий стек технологий Понимаешь принцип работы облачных технологий, технологий контейнеризации, микросервесных архитектур Знаешь уязвимости блокчейна и смарт-контрактов Был опыт участия и выступления на тематических публичных мероприятиях (конференциях, форумах и т.д.) BSCP, OSWA, OSWE или соответствующие сертификаты, есть опыт участия в bug-bounty программах и CTFПохожие вакансии
Специалист по тестированию на проникновение (пентестер)
Договорная
Москва
РТ-Информационная безопасность
Специалист по фаззинг-тестированию и тестированию на проникновение
Договорная
Москва
Русские базовые информационные технологии, Научно-производственное объединение
Junior Penetration Tester (Web) / Младший специалист по тестированию на проникновение
Договорная
Москва
F.A.C.C.T.