Pentester мобильных приложений (Junior/Middle)

О компании

Визум — комплексный системный интегратор и провайдер сервисов в области информационной безопасности.

- Мы реализуем комплексные ИТ-решения для государственных организаций, крупных компаний, операторов связи, банков и промышленных предприятий.

- Защищаем бизнес от киберугроз и действий хакеров: от аудита и внедрения средств защиты до реагирования на инциденты.

Обязанности:

• Тестирование мобильных приложений на Android и iOS;
• Анализ клиентской части (статический/динамический), реверс, проверка механик хранения данных, шифрования, авторизации;
• Анализ сетевых взаимодействий (API, WebView, IPC/XPC);
• Оценка соответствия требованиям OWASP MASVS и OWASP Top 10 Mobile;
• Подготовка профессиональных отчётов по результатам тестирования;
• Описание уязвимостей, сценариев эксплуатации, бизнес-рисков;
• Предоставление PoC-эксплуатаций (код/скрипты/сценарии);
• Расчёт метрик и приоритизация (CVSS v3.1/v4.0);
• Разрабатка рекомендаций по устранению уязвимостей;
• Технические фиксы, архитектурные улучшения, настроечные меры, hardening;
• Совместная работа с разработчиками и безопасниками заказчика;
• Участие в веб/API пентестах сопутствующих компонентов мобильного продукта;
• Встраивать результаты в процесс SDLC/DevSecOps (по согласованию с заказчиком);
• Подготовка материалов для внутреннего knowledge base: чек‑листы, методики, примеры;

Требования:

Для Junior (минимум):

• Понимание базовых уязвимостей мобильных приложений и принципов их эксплуатации;
• Знакомство с OWASP MASVS и OWASP Mobile Top 10 (можно через учебные лаборатории);
• Базовые навыки работы с Linux и инструментами анализа;
• Способность оформлять отчёты и воспроизводимые PoC;
• Готовность быстро учиться и разбираться в новых технологиях.

Для Middle:

• Опыт проведения пентестов мобильных приложений (Android/iOS);
• Уверенные знания OWASP MASVS, OWASP Mobile Top 10 и их практической проверки;
• Опыт тестирования веб/API (авторизация, инъекции, логика, безопасность сессий);
• Понимание принципов разработки на Java/Kotlin/Swift (чтение кода, типичные анти‑паттерны безопасности);
• Уверенное владение Linux и сетевыми инструментами

Будет плюсом:

• Опыт тестирования приложений на React Native, Flutter;
• Языки программирования: Python, JavaScript, Java, Kotlin, Swift;
• Навыки реверс‑инжиниринга (smali, class-dump, Ghidra, Radare2);
• Опыт работы с инструментами;
• Frida, Objection, Cycript/Cydia, Burp Suite, MobSF, apktool/apkguard, medusa, mitmproxy, SSL Kill Switch;
• Понимание специфики платформ:

Android: lifecycle, intents, activities/services, content providers, WebView, IPC, keystore;

iOS: keychain, ATS, entitlements, URL schemes, XPC, sandboxing, code signing;

• Понимание криптографии на прикладном уровне (KDF, AES/GCM, TLS, pinning).

Условия:

• Компенсация занятий по английскому языку;
• Возможность участвовать в перспективных социально-значимых проектах федерального масштаба;
• Программы внутреннего и внешнего профессионального обучения и сертификации;
• Корпоративные мероприятия для общения в неформальной обстановке;
• Отзывчивый коллектив и адекватное руководство;
• Оформление по ТК РФ, «белый» оклад, стабильные выплаты заработной платы 2 раза в месяц;
• Уровень заработной платы обсуждается по результатам собеседования в зависимости от уровня кандидата;
• Аккредитованная ИТ-компания со всеми преимуществами;
• График работы Пн-Чт с 10:00 до 19:00, Пт – до 18:00;
• Современный комфортабельный офис в шаговой доступности от ст. м. Автозаводская и/или удаленный формат работы. Так же есть офис в г. Туле