Привет!
Мы в поиске Специалист по анализу защищенности (pentest) для наших партнеров.
Разработчик облачного сканера для поиска уязвимостей "Метаскан". Это сканирующее облако из >100 серверов, использующих 28 различных инструментов (amass, zap, nuclei, dirsearch, NSE, hydra, patator, etc) для поиска уязвимостей. Мы участвуем в разработке известных инструментов с открытым исходным кодом и публикуем эксплойты и инструменты для поиска уязвимостей.
Среди наших клиентов Сбербанк, ВТБ, Альфабанк, Ростелеком, Wildberries, DNS, СПБ Биржа. Все компании, с которыми вам предстоит работать, представляют большой простор для реализации навыков и творческого подхода в пентесте.
Как член Offensive команды вы будете проводить проекты по тестированию на проникновение, начиная с этапа разведки и заканчивая пост-эксплуатацией. Вам будут доступны любые инструменты на ваше усмотрение и Метаскан как платформа уже реализующая 29 движков для поиска уязвимостей.
Премия за каждый пентест в размере % от суммы договора.
Ваши задачи:
- Проведение разведки: TLD, поддомены, автономные сети и устройство инфраструктуры;
- Разбор обнаруженных системных сервисов, эксплуатация, написание NSE-проб и скриптов;
- Проведение атак на сетевое оборудование, IOT и вендорское оборудование.
- Подбор паролей;
- Эксплуатация уязвимостей системных сервисов;
- Эксплуатация веб-уязвимостей;
- Написание отчёта и участие в отчётной встрече вместе с командой.
Вам понадобится:
- Понимание Linux на уровне администратора;
- Понимание сетевых технологий: Модель OSI, принципы IP маршрутизации, принцип работы прикладных протоколов (DNS, HTTP и д.р.);
- Опыт работы с ZAP или BurpSuite;
- Умение самостоятельно писать эксплойты или PoC под известные уязвимости;
- Понимание эксплуатации уязвимостей из OWASP TOP 10;
- Английский язык B1.
Преимуществом будет:
- Опыт проведения тестирований на проникновение или работы с результатами таких тестов;
- Опыт реализации проектов по внедрению систем защиты (NGFW, IPS, WAF, DPI);
- Опыт работы со сканерами уязвимостей Qualys, Acunetix, Nessus, Rapid7, MaxPatrol или другими;
- Опыт программирования на Python \ Javascript \ C++ \ Go;
- Опыт работы администратором Linux или администратором сетевого оборудования;
- Умение работать с продуктовыми гипотезами, понимание циклов HADI, процесса Customer Development, опыт проведения проблемных интервью.
Условия:
- Фиксированная часть дохода 200к на руки + % от суммы контракта с каждым из клиентов, которых вы сопровождаете;
- Дополнительные оплачиваемые дни отдыха в году;
- Обучение на курсах по Linux | Сетям | ИБ, за счет организации;
- Компенсация занятий спортом, обучения английскому языку, работы с психологом.