Аудитор защищенности приложений (Application Security)

SolidLab – команда профессионалов специализирующаяся на аудите безопасности приложений, тестировании на проникновение, а также предлагающая полный комплекс услуг по аудиту безопасности кода.

Мы в поисках инженера по направлению web application security.

Задачи:

• аудит приложений методом белого и черного ящика, в основном: веб- и мобильные приложения;
• участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений;
• подготовка отчётов по результатам проделанных работ;
• участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации;
• по желанию: участие в исследовательских (R&D) проектах в области безопасности приложений.

Требования:

• системные знания современных веб-технологий — серверных и клиентских;
• системные знания в области Application Securitу;
• подтвержденный опыт системного анализа приложений как белым, так и черным ящиком;
• навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках;
• умение чётко и грамотно формулировать свои мысли в письменном виде;
• навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси;
• английский язык – на уровне понимания профессиональной технической литературы.

Преимуществом будут:

• опыт разработки веб-приложений, знание современных шаблонов проектирования;
• знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
• опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE;
• опыт участия в CTF, наличие самостоятельных исследований;
• наличие профильных сертификатов (BSCP, OSWE).

Мы предлагаем:

• Работа в аккредитованной ИТ- компании
• Конкурентный уровень заработной платы и возможность карьерного роста
• Гибкий рабочий график, возможность работать удаленно
• Возможность прохождения профессиональных сертификаций, тренингов
• Доступ к корпоративным ресурсам для "прокачки" скиллов
• По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т.ч. 0-day и получение CVE), за выступления на конференциях, по итогам года
• Комфортное офисное пространство и современное рабочее оборудование
• Работа в компании ярких и умных людей
• Развитая система наставничества, в том числе после онбординга
• Атмосфера взаимного уважения, позитивный коллектив, свобода слова
• Демократичные руководители, отсутствие дресс-кода
• Внутренние митапы, неформальные встречи для обмена опытом
• ДМС + система приятных и полезных поощрений
• Корпоративный мёрч на ваш выбор
• Активности вне рабочего времени и корпоративные мероприятия
• Комьюнити по интересам