Специалист безопасности приложений (AppSec/DAST)

Вакансия открыта в связи с расширением команды Службы анализа кода. Возможен удалённый формат работы.

Требования:

• высшее образование (ИБ, ИТ),
• опыт от 2-х лет опыт работы по направлению Application Security, специалиста по проведению динамического анализа кода на безопасность (DAST),
• знание уязвимостей информационных систем и ПО, их классификации и порядка оценки критичности (OWASP, CVSS, CWE, CVE),
• знание современных подходов по разработке безопасного ПО,
• опыт работы с инструментами CI/CD,
• знание основных сетевых протоколов и сервисов,
• знание и понимание методики тестирования OWASP WSTG,
• опыт использования инструментов gobuster, wfuzz, nmap, sqlmap, fuff,
• опыт работы с DAST решениями (OWASP ZAP, Burp Suite, NetSparker),
• умение работать в ОС Linux на уровне продвинутого пользователя;

Будет плюсом:

• знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО.

Задачи:

• проведение работ по динамическому анализу кода веб-приложений,
• проведение работ по динамическому анализу кода мобильных приложений (Android, iOS),
• исследование результатов анализа, выявление критичных недостатков и формирование отчетной документации с рекомендациями для команд разработки в части устранения выявленных недостатков,
• взаимодействие с командами разработки по вопросам устранения выявленных недостатков,
• проведение динамического анализа кода с учетом результатов статического анализа кода,
• эксплуатация обнаруженных уязвимостей,
• демонстрация возможностей эксплуатации уязвимостей командам разработки.