Специалист по тестированию на проникновение (Web, Middle AppSec)
От 1 года до 3 лет
Полная занятость
Полный день
Описание вакансии
ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ:
- Участвовать в проектах по тестированию веб-приложений и API И/ИЛИ тестированию мобильных приложений и API: поиск уязвимостей в ручном и автоматизированном режиме, верификация и эксплуатация обнаруженных уязвимостей, построение цепочек и сценариев атак
- Проводить статический анализа исходного кода приложений (как с применением SAST-инструментария, так и ревью кода)
- Участвовать в ревью технических отчетов других специалистов
- Документировать проделанную работу и результаты тестирования по согласованной структуре
ОТКЛИКАЙСЯ НА ЭТУ ВАКАНСИЮ, ЕСЛИ:
- Имеешь высшее техническое образование и не менее года опыта в тестировании приложений
- Обладаешь уверенными знаниями сетевых технологий (cтек TCP/IP, модель OSI)
- Отлично знаешь методологии тестирования (OSSTM, PTES, OWASP)
- Обладаешь продвинутыми навыками работы с базовыми инструментами. Для веб-специалиста: BurpSuite, Nmap, Dnsrecon, Amass, Zmap, Metasploit Framework, OWASP ZAP, Nuclei, ffuf. Для мобильного специалиста: mLogCat, dex2jar, Veracode, Xposed Framework, Frida с кастом-скриптами, ADB, Fridump, Drozer
- Умеешь выполнить сложные атаки на веб-приложения (cache poisoning, smuggling), эксплуатировать уязвимости на стороне клиента (DOM-based, prototype pollution, пр.)
- Обладаешь навыками программирования (Python/Go/PHP/C++/др.) и умеешь самостоятельно создавать и/или дорабатывать полезные нагрузки
- Понимаешь риски и типовые уязвимостей веб-приложений, сетей и ОС
- Понимаешь текущие угрозы, атаки и методы их обнаружения
- Имеешь способность документировать результаты тестирования
БУДЕТ ЗДОРОВО, ЕСЛИ ТЫ:
- Умеренно знаешь не менее 3х языков программирования и широкий стек технологий
- Понимаешь принцип работы облачных технологий, технологий контейнеризации, микросервесных архитектур
- Знаешь уязвимости блокчейна и смарт-контрактов
- Был опыт участия и выступления на тематических публичных мероприятиях (конференциях, форумах и т.д.)
- BSCP, OSWA, OSWE или соответствующие сертификаты, есть опыт участия в bug-bounty программах и CTF
Ключевые навыки
Вакансия опубликована:
18 сентября 2024,
Москва
Похожие вакансии
Инженер по ручному тестированию (Linux)
F.A.C.C.T.
Оценки по категориям
Преимущества и льготы компании
Сотрудники чаще всего указывали следующие льготы и преимущества на основании 59 отзывов
86%
Наличие кухни, места для обеда
83%
Своевременная оплата труда
81%
Медицинское страхование
81%
Корпоративные мероприятия
66%
Гибкий рабочий график
61%
Оплата больничного
56%
Профессиональное обучение
51%
Удаленная работа
39%
Удобное расположение работы
29%
Система наставничества
8%
Корпоративный транспорт
7%
Место для парковки
5%
Компенсация питания
3%
Оплата транспортных расходов
2%
Оплата мобильной связи