Обязанности:
Novabev Group объединяет тех, кому важно расти и развиваться в профессии, кто вдохновлен развивать компанию и индустрию, готов брать на себя ответственность и заинтересован в получении нового профессионального опыта. Каждый сотрудник нашей команды делает вклад в успех группы, проявляя экспертизу, упорство и нестандартные подходы к решению задач. Корпоративная культура Novabev Group — это культура лидерства и внутреннего предпринимательства. Основные задачи: Проведение ручного тестирования веб-приложений, API, внешнего периметра и приоритетных цифровых сервисов; Анализ и triage уязвимостей из Metascan, внешних пентестов и Bug Bounty; Валидация findings,подготовка mitigations и практических рекомендаций разработке, владельцам сервисов и IT; Участие в управлении внешними пентестами: scope, приемка результатов, ретест; Взаимодействие с SOC по атакам на внешние сервисы; Участие в развитии процессов AppSec, SSDLC, SAST/DAST/SCA и подготовке к Bug Bounty; Техническая помощь в инвентаризации и категоризации внешних веб-сервисов; Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей приложений, API и внешнего периметра; Выявление и анализ признаков технического фрода в цифровых каналах, включая злоупотребления бизнес-логикой, обход защитных механизмов, автоматизированные сценарии злоупотреблений, аномалии в API и клиентских сценариях; Подготовка технических рекомендаций по снижению риска фрода совместно с владельцами сервисов, разработкой, Anti-Fraud и SOC. Ключевые требования к кандидату: Практический опыт ручного тестирования веб-приложений, API и внешнего периметра; Знание OWASP Top 10, типовых векторов атак, бизнес-логики, аутентификации/авторизации, IDOR, SSRF, XSS, SQLi и др. Понимание сценариев злоупотребления бизнес-логикой и технического фрода в цифровых каналах; Навыки анализа эксплуатационных цепочек атак и аномального поведения пользователей/клиентов/интеграций; Владение Burp Suite, Nmap, Metasploit, Postman/Insomnia, сканерами и вспомогательными утилитами; Понимание DAST/SAST/SCA, triage уязвимостей и валидации findings; Понимание архитектуры веб-сервисов, API, reverse proxy, сертификатов, публикации внешних ресурсов; Навыки подготовки понятных технических отчетов и mitigations; Опыт взаимодействия с разработкой, SOC и/или AppSec будет преимуществом. Мы предлагаем: График 5/2 с 9:30 до 18:30 (обсуждаемо); Официальное трудоустройство по ТК РФ с первого дня работы; Программа лояльности BestBenefits; Подарки сотрудникам на Новый год, гендерные праздники; Развитая корпоративная культура; Возможность профессионального роста: обучение сотрудников, внешние тренинги и курсы повышения квалификации; Развитие сотрудников внутри компании, возможность карьерного роста; Кухонные зоны и чай, кофе, фрукты в офисе.Похожие вакансии