Москва
Команда Управления экспертизы кибербезопасности ищет талантливых и опытных Application Security Engineers для развития и усиления направлений «Security Testing» и «Bug Bounty».
Если ты хочешь заниматься практической безопасностью, тестировать защищенность API, web- и мобильных приложений Сбера с применением различных техник, методов и специальных инструментов, откликайся!
Что мы предлагаем:
- стабильный оклад и социальную поддержку сотрудников
- расширенный ДМС с первого дня для сотрудников и льготное страхование для близких
- корпоративное обучение в Виртуальной школе Сбера, регулярные внутренние и внешние митапы
- современный офис с зонами отдыха и спортзалом
- бесплатную подписку СберПрайм+ и скидки на продукты компаний-партнеров
- ипотеку выгоднее на 4% для каждого сотрудника.
Чем предстоит заниматься:
- исследовать выявлять и анализировать уязвимости связанные с безопасностью API, web- и мобильных приложений, предлагать корректирующие меры
- участвовать в обработке отчетов программы "Bug Bounty"
- изучать и декомпозировать приложения для определения потенциального вектора атаки
- писать отчеты с PoC по результатам тестирования
- представлять результаты тестирования как техническим специалистам, так и не технической аудитории.
Мы ждём, что ты:
- на экспертном уровне понимаешь архитектуру web- и мобильных приложений
- разбираешься в безопасности REST API, SOAP GraphQL, JSON
- понимаешь и используешь в своей работе OWASP TOP10, WSTG, MSTG, MITRE ATT&CK
- знаешь распространенные технологии аутентификации включая OAuth, SAML, CAs, OTP и способен обнаружить недостатки при их реализации
- понимаешь основные принципы работы сетевых и web протоколов
- имеешь опыт написания скриптов (payloads), например, на Python и JS
- отлично владеешь инструментами тестирования на проникновение.
Будет преимуществом участие в CTF и Bug Bounty, успехи на HuckTheBox, PortSwigger, CodeBy и т.п., а также наличие сертификатов WAPT, OSWE и OSCP.