Ведущий инженер

Команда Управления экспертизы кибербезопасности ищет талантливых и опытных Application Security Engineers для развития и усиления направлений «Security Testing» и «Bug Bounty».

Если ты хочешь заниматься практической безопасностью, тестировать защищенность API, web- и мобильных приложений Сбера с применением различных техник, методов и специальных инструментов, откликайся!

Что мы предлагаем:

• стабильный оклад и социальную поддержку сотрудников
• расширенный ДМС с первого дня для сотрудников и льготное страхование для близких
• корпоративное обучение в Виртуальной школе Сбера, регулярные внутренние и внешние митапы
• современный офис с зонами отдыха и спортзалом
• бесплатную подписку СберПрайм+ и скидки на продукты компаний-партнеров
• ипотеку выгоднее на 4% для каждого сотрудника.

Чем предстоит заниматься:

• исследовать выявлять и анализировать уязвимости связанные с безопасностью API, web- и мобильных приложений, предлагать корректирующие меры
• участвовать в обработке отчетов программы "Bug Bounty"
• изучать и декомпозировать приложения для определения потенциального вектора атаки
• писать отчеты с PoC по результатам тестирования
• представлять результаты тестирования как техническим специалистам, так и не технической аудитории.

Мы ждём, что ты:

• на экспертном уровне понимаешь архитектуру web- и мобильных приложений
• разбираешься в безопасности REST API, SOAP GraphQL, JSON
• понимаешь и используешь в своей работе OWASP TOP10, WSTG, MSTG, MITRE ATT&CK
• знаешь распространенные технологии аутентификации включая OAuth, SAML, CAs, OTP и способен обнаружить недостатки при их реализации
• понимаешь основные принципы работы сетевых и web протоколов
• имеешь опыт написания скриптов (payloads), например, на Python и JS
• отлично владеешь инструментами тестирования на проникновение.

Будет преимуществом участие в CTF и Bug Bounty, успехи на HuckTheBox, PortSwigger, CodeBy и т.п., а также наличие сертификатов WAPT, OSWE и OSCP.