Пентестер

В 2022 году Московской бирже исполнилось 30 лет. Мы появились вместе с современной Россией и за эти годы с нуля создали рынок инвестиций.

Сегодня миллионы людей и тысячи компаний доверяют нам и пользуются нашей инфраструктурой.

• Ежедневно на наших торговых платформах совершаются миллионы транзакций в минуту – без задержек, без перебоев.
• Мы храним в депозитарии цифровые записи о каждом активе, который торгуется на бирже.
• Мы следим за тем, чтобы все операции соответствовали правилам торгов и требованиям регуляторов.

А еще мы активно развиваемся и давно вышли за рамки классического биржевого бизнеса.

• Мы разрабатываем и поддерживаем платформы, которые соединяют финансовые компании и клиентов,
• Мы идем на внебиржевой рынок и создаем на нем удобные сервисы,
• Мы открываем новые возможности для инвесторов, корпораций, банков.
• Мы развиваем финансовую культуру страны.

В #moexteam уже больше 2200 человек: ИТ-специалисты и эксперты по развитию рынков, продуктовые и проектные менеджеры, финансисты и юристы, маклеры и многие другие. Мы разные, но всех нас объединяет общая цель – помочь людям и компаниям управлять деньгами, используя передовые технологии и знания.

Чем предстоит заниматься:

• Осуществление работ по оценке соответствия ПО требованиям ГОСТ Р ИСО/МЭК 15408 или Профилю защиты Банка России;
• Статический анализ исходного кода ПО с использованием специализированных инструментальных средств (статических анализаторов);
• Поиск известных (подтвержденных) уязвимостей сред функционирования ПО в общедоступных источниках информации;
• Выявление уязвимости кода и уязвимости конфигурации оцениваемого ПО и сред его функционирования;
• Тестирование на проникновение и анализ защищенности ПО;
• Фаззинг тестирование ПО;
• Помощь в Разработке и оформлении документации связанной с оценкой уязвимостей ПО;
• Подготовка отчетов по итогам проведения работ;
• Взаимодействие с командами ИТ и командами разработки ПО.

Мы ожидаем от Вас:

• Опыт работы с операционными системами: знание основных ОС (Windows, Linux);
• Навыки работы с инструментами для анализа кода (static и dynamic analysis);
• Опыт проведения экспертизы программного кода с целью выявления критических уязвимостей;
• Участие в проектах по тестированию на проникновение и анализу защищенности;
• Опыт работы с инструментами фаззинга (например, OWASP ZAP, Burp Suite, sqlmap и другие);
• Опыт фаззинг тестирования;
• Умение пользоваться отечественными и зарубежными базами данных уязвимостей и угроз ИБ, знание наиболее распространенных уязвимостей ПО;
• Понимание принципов устройства прикладных/серверных web приложений, микросервисной архитектуры;
• Знание основных уязвимостей веб-приложений (приветствуется наличие сертификата OWASP Top 10);
• Знание работы веб-протоколов и технологий (http, https, soap, ajax, json, rest...), а также основных веб-уязвимостей;
• Знание различных методов и техник, используемых для поиска уязвимостей и тестирования систем на проникновение;
• Умение читать и анализировать различную кодовую базу (Java, JS, Python, C, C++, C#) на предмет уязвимостей и НДВ;
• Умение читать техническую документацию, в том числе на английском языке;
• Аналитическое мышление, организационные навыки, ответственность, коммуникабельность.

Будет плюсом:

• Наличие сертификатов, подтверждающих квалификацию пентестера, например, BSCP(Burp Suite) ,CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) и другие;
• Знание инструментов Burp Suite, sqlmap, nuclei, OWASP ZAP, OWASP Dependency-Check и других, а также опыт их использования для обнаружения и эксплуатации уязвимостей.