Специалист по анализу защищенности веб-приложений (PT SWARM)

Описание вакансии

PT SWARM — это команда из более чем 60 экспертов в offensive security, которые занимаются тестированием на проникновение (в том числе red teaming), анализом защищенности приложений (мобильных и веб-приложений, приложений финансовой отрасли), выполняют проекты по социальной инженерии, проводят аудит беспроводных сетей, банкоматов и POS-терминалов. В среднем ежегодно команда успешно выполняет более 100 проектов.

Наши эксперты выступают на топовых международных конференциях по кибербезопасности, таких как Black Hat Europe, Black Hat USA, CanSecWest, DEF CON, Hack in Paris, No Such Con, PacSec, Power of Community.

За последние три года эксперты PT SWARM выявили более 250 уязвимостей, 70% из которых высокого и критического уровня, в программных продуктах 60 различных производителей, среди которых Cisco, Citrix, Fortinet, IBM, Intel,Microsoft, Moxa, NCR, Palo Alto, Schneider Electric, Siemens, Verifone, VMware.

Команда PT SWARM ведет блог с исследованиями, а также Твиттер; ее участники попадали в топ хакерских техник PortSwigger и были отмечены в залах славы многих известных компаний: Adobe, Apple, AT&T, IBM, GitLab, Google, Mastercard, Microsoft, PayPal, Salesforce и десятках других.

Мы ищем единомышленника — специалиста по анализу защищенности веб-приложений, который станет частью нашей команды!

Чем предстоит заниматься:

Вы будете анализировать защищенность веб-приложений, то есть стремиться обнаружить абсолютно все уязвимости, которые в них есть. От самых простых, таких как небезопасное хранение файлов или открытое перенаправление, до самых опасных и сложных — различные инъекции, чтение файлов, локальное или удаленное выполнение кода. Вам предстоит участвовать в организации крупнейшего форума по кибербезопасности Positive Hack Days, а также заниматься исследованиями и публиковать их в блоге команды PT SWARM (twitter.com/ptswarm, swarm.ptsecurity.com)

Мы ищем коллегу, который:

Знает, какие веб-уязвимости бывают и как их можно эксплуатировать;
Имеет теоретический и практический опыт поиска и эксплуатации различных веб-уязвимостей, знает особенности и различные векторы эксплуатации;
Понимает принципы работы уязвимостей и умеет давать рекомендации по их устранению;
Умеет искать уязвимости белым ящиком, читать код на одном из языков: C#, Java, Node.js, PHP, Python, Ruby.

Приветствуются:

Успешное участие в программах bug bounty с публично раскрытыми уязвимостями, CTF;
Наличие собственных исследований и публичных выступлений;
Наличие обнаруженных уязвимостей, CVE;
Умение разрабатывать собственные инструменты для анализа защищенности (например, с помощью Burp Suite API);
Наличие сертификатов (OSCP, OSWE, eWAPTX);
Опыт работы с AWS, Azure, Docker, K8s и опыт анализа защищенности этих систем.

Что мы предлагаем:

Бессрочный трудовой договор (испытательный срок — три месяца)
Гибридный график и гибкое начало рабочего дня (в 8:00–12:00)
Условия для постоянного развития: внутренние митапы, научпоп-лекции, экспертное обучение, олимпиады по программированию, обучение для руководителей и не только
Возможность получать актуальные для твоей роли знания и опыт на внешних образовательных программах за счет компании
Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год
Заботу о здоровье: ДМС с первой недели работы, включая стоматологию, ежегодный чекап
Компенсацию до 50% расходов на занятия спортом и английским языком в рамках ежегодного бюджета
Работу в аккредитованной ИТ-компании и возможность использования льгот Министерства цифрового развития