Специалист по анализу защищенности (pentest)

Привет!

Мы в поиске Специалиста по анализу защищенности (pentest) для наших партнеров.

Чем предстоит заниматься?

• Проводить анализ защищенности локальных сетей и корпоративной ИТ-инфраструктуры, технологической ИT-инфраструктуры;
• Проводить анализ защищенности внешнего периметра ИТ-инфраструктуры;
• Тестировать веб-приложения, мобильные приложения, API-протоколы;
• Постоянно совершенствовать свои компетенции
• Проводить исследования в области анализа защищенности

Будет плюсом, если ты:

Понимаешь, как работает:

• HTTP / HTTPS
• REST
• Авторизация / Аутентификация
• Cookie / Session
• Клиент-серверная модель

• Читаешь:

• JSON
• Логи
• Простые stack trace

• При тестировании веб приложений:

Знаешь базово и умеешь находить:

• IDOR
• Broken Access Control
• SQL Injection (на уровне понимания типов)
• XSS
• SSRF (на уровне понимания принципа работы)
• File Uploads issues
• Broken Authentication
• Умеешь пользоваться инструментами перехвата трафика (Burp/ZAP)
• Знаешь и умеешь пользоваться Browser Dev tools

При тестировании мобильных приложений:

• Умеешь перехватывать трафик мобильных приложений
• Можешь обойти SSL Pinning (через готовые решения)
• Можешь декомпилировать мобильные приложения:
  • APK
  • IPA (Базово)

Можешь найти:

• Hardcoded Secrets / Credentials
• Insecure Storage
• Экспортируемые компоненты (Activity, Content Providers, Services, Broadcast Receivers)
• Флаги Debug / Backup

Умеешь пользоваться инструментами:

• Jadx (Базово)
• MobSF (Базово)
• Frida (С готовыми скриптами)

Понимаешь:

- Архитектуру веб и мобильных приложений (SPA, microservices)

- SSO

- OAuth2 / OIDC

- CORS

При тестировании веб приложений:

Знаешь и умеешь искать уязвимости:

• Business logic
• JWT
• Injections
• GraphQL
• Race Condition
• Second order
• Out-of-Band

Знаешь и умеешь искать уязвимости API:

• BOLA / IDOR
• Mass Assignment
• Missing Authorization

При тестировании мобильных приложений:

Уверенно пользуешься инструментами:

• Frida (На уровне редактирования готовых скриптов)
• Jadx
• ADB
• Android Studio

Общие навыки:

• Можешь самостоятельно проводить работы по тестированию
• Можешь самостоятельно определять поверхность атаки и критичные точки системы
• Можешь выстраивать уязвимости в цепочки и эксплуатировать их
• В отчёте можешь описывать реальные последствия от эксплуатации найденных уязвимостей и давать рекомендации по их устранению.

Что предлагаем сотруднику:

• Официальное трудоустройство и белая зарплата;

• Работа в крупной компании(банковский сектр);

• Уровень заработной платы обсуждается индивидуально с каждым кандидатом и зависит от уровня твоих знаний и компетенций;

• Возможность работать удалённо 2 дня в неделю после испытательного срока (предоставляем всю необходимую технику, а также используем современные сервисы для коммуникации внутри компании).

• Есть возможность горизонтальных перемещений.

Ждем твое резюме!