Москва
Шарикоподшипниковская улица 1
Шарикоподшипниковская улица 1
ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ:
- Участвовать в проектах по тестированию веб-приложений и API И/ИЛИ тестированию мобильных приложений и API: поиск уязвимостей в ручном и автоматизированном режиме, верификация и эксплуатация обнаруженных уязвимостей, построение цепочек и сценариев атак
- Проводить статический анализа исходного кода приложений (как с применением SAST-инструментария, так и ревью кода)
- Участвовать в ревью технических отчетов других специалистов
- Документировать проделанную работу и результаты тестирования по согласованной структуре
ОТКЛИКАЙСЯ НА ЭТУ ВАКАНСИЮ, ЕСЛИ:
- Имеешь высшее техническое образование и не менее года опыта в тестировании приложений
- Обладаешь уверенными знаниями сетевых технологий (cтек TCP/IP, модель OSI)
- Отлично знаешь методологии тестирования (OSSTM, PTES, OWASP)
- Обладаешь продвинутыми навыками работы с базовыми инструментами. Для веб-специалиста: BurpSuite, Nmap, Dnsrecon, Amass, Zmap, Metasploit Framework, OWASP ZAP, Nuclei, ffuf. Для мобильного специалиста: mLogCat, dex2jar, Veracode, Xposed Framework, Frida с кастом-скриптами, ADB, Fridump, Drozer
- Умеешь выполнить сложные атаки на веб-приложения (cache poisoning, smuggling), эксплуатировать уязвимости на стороне клиента (DOM-based, prototype pollution, пр.)
- Обладаешь навыками программирования (Python/Go/PHP/C++/др.) и умеешь самостоятельно создавать и/или дорабатывать полезные нагрузки
- Понимаешь риски и типовые уязвимостей веб-приложений, сетей и ОС
- Понимаешь текущие угрозы, атаки и методы их обнаружения
- Имеешь способность документировать результаты тестирования
БУДЕТ ЗДОРОВО, ЕСЛИ ТЫ:
- Умеренно знаешь не менее 3х языков программирования и широкий стек технологий
- Понимаешь принцип работы облачных технологий, технологий контейнеризации, микросервесных архитектур
- Знаешь уязвимости блокчейна и смарт-контрактов
- Был опыт участия и выступления на тематических публичных мероприятиях (конференциях, форумах и т.д.)
- BSCP, OSWA, OSWE или соответствующие сертификаты, есть опыт участия в bug-bounty программах и CTF