other

Penetration Tester (Ташкент)

1 июля 2026

З/П не указана

Город: Москва

Octobank

Тип занятости: Полная занятость

Требуемый опыт: Опыт от 3 лет

Обязанности:

Мы ищем опытного Penetration Tester для проведения наступательного тестирования безопасности наших финтех-сервисов и бизнес-приложений. В этой роли вы будете отвечать за выявление уязвимостей в инфраструктуре, веб и мобильных приложениях, а также в бизнес-логике платежных и финансовых процессов до того, как их найдут злоумышленники. Помимо технической работы, вы будете развивать зрелые процессы offensive-тестирования внутри компании. Ваша работа критически важна для защиты данных и средств клиентов, а также для обеспечения надежности и соответствия наших сервисов требованиям регуляторов. Мы ищем не «сканер уязвимостей», а вовлеченного специалиста, который проактивно ищет слабые места, доводит находки до устранения и помогает выстраивать культуру безопасности в командах. Основные задачи: Проведение внешнего и внутреннего тестирования на проникновение инфраструктуры (сетевой периметр, Active Directory, сегментация, повышение привилегий, латеральное перемещение). Тестирование на проникновение веб-приложений и API финтех-сервисов (аутентификация, авторизация, бизнес-логика, обработка платежей и финансовых операций). Тестирование на проникновение мобильных приложений (Android и iOS): анализ клиента, хранение данных, защита каналов связи, обход root/jailbreak детекта, перехват и модификация трафика. Анализ безопасности бизнес-логики финансовых процессов: платежи, переводы, выставление счетов, лимиты, антифрод-механизмы, интеграции с внешними платежными провайдерами. Подготовка качественной технической документации: отчеты по результатам тестирований с воспроизведением, оценкой рисков (CVSS) и практическими рекомендациями по устранению. Ведение и развитие организационной документации: методологии тестирования, чек-листы, регламенты проведения работ. Построение и улучшение процессов offensive security: планирование тестирований, приоритизация, трекинг устранения уязвимостей и проведение retest. Взаимодействие с командами разработки, DevOps и инфраструктуры для корректного воспроизведения, валидации и устранения найденных уязвимостей. Участие в моделировании угроз и оценке атакующих сценариев для новых функций сервисов и платформ. Проактивное предложение улучшений в области безопасности и участие в развитии внутренней expertise команды. Ожидания от кандидата: Опыт работы в области тестирования на проникновение не менее 4-5 лет. Практический опыт проведения пентестов инфраструктуры: сетевая разведка, эксплуатация сервисов, атаки на Active Directory (Kerberoasting, AS-REP, делегирование, NTLM relay), сетевые атаки(MITM, poisoning, replay), повышение привилегий и латеральное перемещение. Уверенный опыт пентеста веб приложений и API: OWASP Top 10, OWASP API Security Top 10, эксплуатация XSS, SSRF, IDOR, injection уязвимостей, ошибок аутентификации и авторизации, уязвимостей бизнес-логики. Опыт тестирования мобильных приложений по методологии OWASP MASVS / MASTG (анализ Android и iOS, инструментирование, обход защитных механизмов). Понимание угроз, специфичных для финтех- и платежных сервисов (мошенничество, манипуляции с транзакциями, обход лимитов и антифрода). Владение основным инструментарием: Nmap, Burp Suite, ffuf, Nuclei, Metasploit, Impacket, BloodHound, Responder, mitmproxy, Frida, Objection, MobSF. Знание методологий и фреймворков: PTES, OWASP WSTG/MASTG, MITRE ATT&CK, понимание этапов kill chain. Навыки скриптинга для автоматизации задач и написания PoC (Python, Bash, PowerShell). Способность читать и анализировать код для поиска уязвимостей на различных языках программирования. Понимание основ криптографии, механизмов авторизации и аутентификации (TLS/SSL, PKI, OAuth2, JWT, SAML 2.0, OpenID Connect). Опыт работы с контейнерами (docker, podman) и понимание основ их безопасности. Умение четко и структурированно излагать технические находки в письменном виде. Умение работать в команде, вовлеченность в результат и инициативность — готовность не ограничиваться формальным скоупом, а доводить находки до реального устранения. Владение техническим английским языком. Что будет плюсом: Опыт работы в финтех-компаниях, банках или платежных сервисах. Понимание регуляторных требований и стандартов финансовой отрасли (PCI DSS, ISO 27001, требования локальных регуляторов). Опыт проведения Red Team операций и работы с C2-фреймворками (Cobalt Strike, Sliver, Mythic, Havoc). Опыт пентеста облачных сред (AWS, GCP, Azure) и Kubernetes. Опыт обхода EDR/AV и техник evasion. Опыт reverse engineering и анализа бинарных файлов. Опыт участия в Bug Bounty программах (как со стороны исследователя, так и со стороны организатора). Опыт проведения внутренних тренингов и обучения команд по offensive security. Наличие профильных сертификатов: OSCP, OSEP, OSWE, OSWA, OSED, eMAPT, eCPPT, CRTO, GPEN/GXPN, BSCP. Опыт построения процессов тестирования на проникновение.

Показать контакты

Имя не указано

Пожаловаться ID: 155040369

Похожие вакансии

Penetration testing specialist (industrial)

Договорная

Москва

Лаборатория Касперского

Robot Tester / Benchmark Engineer

Договорная

Москва

СБЕР

Lead product marketing manager (Ташкент)

Договорная

Москва

«UZUM TECHNOLOGIES»

QA Lead (fintech, г. Ташкент)

Договорная

Москва

Саидов Алишер Ринатович