Эксперт по тестированию на проникновение (web pentest)

Кто мы: Центр информационной безопасности компании «Инфосистемы Джет» – это профессиональное сообщество специалистов в области ИБ. Мы защищаем бизнес наших заказчиков от киберугроз. 28 лет работы на рынке ИБ ТОП-3 ИБ-интеграторов по версии CNews Analytics 500+ ИБ-экспертов с отраслевым опытом Собственная ежегодная конференция ИБ – Jet Security Conference Онлайн-конференция CyberCamp с киберучениями В группу практического анализа защищенности мы приглашаем эксперта по тестированию на проникновение. Обязанности: Проведение разнообразных видов тестирования на проникновения и анализа защищенности: веб-приложений и API, мобильных приложений, анализа исходного кода, работ в формате RedTeam; Подготовка рекомендаций по повышению уровня защищенности инфраструктуры Заказчиков; Координирование деятельности проектной команды; Осуществление менторства над менее опытными коллегами; Участие в пресейловых встречах; Разработка отчетов и проведения презентаций по результатам проекта; Собственное развитие и развитие компетенций отдела в области ИБ (участие в исследовательской деятельности). Требования: Опыт работы от трех лет в качестве пентестера; Высшее образование ИБ/ИТ, либо незаконченное высшее в этой же сфере; Знание нормативных документов в области ИБ, включая документы, связанные с практическим анализом защищенности; Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, PCI DSS, BSIMM); Углубленное знание работы веб-протоколов и технологий (HTTP(s), SOAP, AJAX, JSON, REST, сессии и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей; Умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, PHP, C#), опыт аудита исходного кода на безопасность; Опыт работы с SAST (Checkmarx, SonarQube, Solar Appscreener, PT AI, semgrep) и умение писать правила для них; Опыт работы с инструментами: Dependency Check, phpggc, gadget-inspector, GCMiner, nuclei и т.п.; Опыт работ с инструментами для анализа безопасности мобильных приложений: Genymotion, Frida, MobSF, Stingray; Опыт разработки / умение предложить вариант исправления программной реализации; Понимание основных способов защиты от уязвимостей и ошибок в их реализации (как на уровне кода, так и наложенных СЗИ). Как преимущество: Участие в профессиональных соревнованиях (CTF, HTB) или Bug Bounty; Опыт администрирования web-серверов, *nix и Windows-систем; Наличие зарегистрированных уязвимостей (CVE, БДУ); Наличие профессиональных сертификатов (OSCP, eWPTv2, OSCE и подобных); Знание технологий виртуализации Docker, Kubernetes, ESXi; Опыт дизассемблирования; Опыт и умение получения Root/jailbreak на мобильных устройствах. Условия: Офис в пешей доступности от м. Савеловская, возможен гибридный формат работы; График работы 5/2 с 10.00 до 18.30; Работу в команде крутейших экспертов по информационной безопасности; Профессиональное обучение и сертификации за счёт компании; Оформление по ТК РФ; Заработную плату по результатам собеседования + премии по итогам работы; Социальный пакет предполагает выбор между ДМС, изучением иностранных языков и абонементом в фитнес-центр; Буфеты на территории компании, бесплатные завтраки для тех, кто любит приехать в офис пораньше Возможность принять участие в ключевых конференциях по ИБ в качестве спикеров и участников, сразиться с хакерами на PHD и поучаствовать в CTF Приходи к нам, вместе мы будем строить цифровое будущее и реализовывать крупнейшие ИТ-проекты в стране!