з/п не указана
Москва
Якиманская набережная
Якиманская набережная
От 1 года до 3 лет
Novabev Group объединяет тех, кому важно расти и развиваться в профессии, кто вдохновлен развивать компанию и индустрию, готов брать на себя ответственность и заинтересован в получении нового профессионального опыта. Каждый сотрудник нашей команды делает вклад в успех группы, проявляя экспертизу, упорство и нестандартные подходы к решению задач. Корпоративная культура Novabev Group — это культура лидерства и внутреннего предпринимательства.
Основные задачи:
- Проведение ручного тестирования веб-приложений, API, внешнего периметра и приоритетных цифровых сервисов;
- Анализ и triage уязвимостей из Metascan, внешних пентестов и Bug Bounty;
- Валидация findings,подготовка mitigations и практических рекомендаций разработке, владельцам сервисов и IT;
- Участие в управлении внешними пентестами: scope, приемка результатов, ретест;
- Взаимодействие с SOC по атакам на внешние сервисы;
- Участие в развитии процессов AppSec, SSDLC, SAST/DAST/SCA и подготовке к Bug Bounty;
- Техническая помощь в инвентаризации и категоризации внешних веб-сервисов;
- Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей приложений, API и внешнего периметра;
- Выявление и анализ признаков технического фрода в цифровых каналах, включая злоупотребления бизнес-логикой, обход защитных механизмов, автоматизированные сценарии злоупотреблений, аномалии в API и клиентских сценариях;
- Подготовка технических рекомендаций по снижению риска фрода совместно с владельцами сервисов, разработкой, Anti-Fraud и SOC.
Ключевые требования к кандидату:
- Практический опыт ручного тестирования веб-приложений, API и внешнего периметра;
- Знание OWASP Top 10, типовых векторов атак, бизнес-логики, аутентификации/авторизации, IDOR, SSRF, XSS, SQLi и др.
- Понимание сценариев злоупотребления бизнес-логикой и технического фрода в цифровых каналах;
- Навыки анализа эксплуатационных цепочек атак и аномального поведения пользователей/клиентов/интеграций;
- Владение Burp Suite, Nmap, Metasploit, Postman/Insomnia, сканерами и вспомогательными утилитами;
- Понимание DAST/SAST/SCA, triage уязвимостей и валидации findings;
- Понимание архитектуры веб-сервисов, API, reverse proxy, сертификатов, публикации внешних ресурсов;
- Навыки подготовки понятных технических отчетов и mitigations;
- Опыт взаимодействия с разработкой, SOC и/или AppSec будет преимуществом.
Мы предлагаем:
- График 5/2 с 9:30 до 18:30 (офис);
- Официальное трудоустройство по ТК РФ с первого дня работы;
- Новый и современный офис в центре Москвы (рядом с парком Музеон, в шаговой доступности от метро Полянка, Третьяковская, Кропоткинская);
- Программа лояльности BestBenefits;
- Подарки сотрудникам на Новый год, гендерные праздники;
- Развитая корпоративная культура;
- Возможность профессионального роста: обучение сотрудников, внешние тренинги и курсы повышения квалификации;
- Развитие сотрудников внутри компании, возможность карьерного роста;
- Кухонные зоны и чай, кофе, фрукты в офисе.
