Ведущий инженер по тестированию на проникновение веб-приложений / Senior penetration tester (Web)

BI.ZONE создает IT-продукты для обеспечения кибербезопасности: от мобильных приложений до сложных платформ, в основе которых лежат методы машинного обучения. Благодаря нашим решениям жизнь десятков миллионов людей становится лучше и безопаснее.

На данный момент мы ищем опытного web-пентестера!

Чем предстоит заниматься:

• Проведением углубленного анализа защищенности веб-приложений различной степени сложности, включая монолитные решения, распределенные системы с микросервисной архитектурой, подход, ориентированный на взаимодействие приложений, внешние интеграции и сервисы аутентификации и авторизации

• Исследованием безопасности интерфейсов программирования приложений (в том числе REST), включая проверку механизмов аутентификации, авторизации, управления доступом, обработки ошибок, проверки корректности данных и защиты бизнес-логики

• Анализом защищенности мобильных приложений (Android и iOS) с акцентом на реальные сценарии атак, включая взаимодействие клиента с серверной частью, безопасность интерфейсов, хранение и обработку конфиденциальных данных, защиту от подмены и модификации

• Проведением внешнего тестирования на проникновение прикладных систем и сервисов с моделированием атак со стороны внешнего злоумышленника, включая стандартные и нестандартные способы атаки

• Проведением внутреннего тестирования на проникновение с имитацией атак внутренних сотрудников, исследованием доверенных зон и повышением реалистичности сценариев атак

• Исследованием командных атак с моделированием сложных и многоэтапных действий для проверки устойчивости процессов, архитектурных решений и механизмов защиты

• Проведением ручного анализа уязвимостей, выходящего за рамки автоматизированных средств, включая поиск логических ошибок, уязвимостей бизнес-процессов, ошибок проектирования и некорректных предположений в архитектуре приложений

• Анализом исходного кода приложений для выявления первопричин уязвимостей, оценки реального уровня риска и определения эффективных мер по устранению

• Разработкой и применением вспомогательных инструментов, скриптов и автоматизации для повышения эффективности анализа защищенности и воспроизводимости результатов

• Подготовкой детализированных технических отчетов с описанием сценариев атак, доказательствами эксплуатации, оценкой рисков и практическими рекомендациями по устранению уязвимостей

• Консультированием команд разработки, архитектуры и информационной безопасности по выявленным уязвимостям, разбором корневых причин и вариантов устранения

• Развитием внутренних практик анализа защищенности, совершенствованием методологий, подходов и стандартов проведения тестирования

Что для нас важно:

• Опыт проведения анализа защищенности веб приложений от 3х лет
• Отличное знание уязвимостей приложений, включая OWASP Top-10 (но не ограничиваясь)
• Умение читать исходный код минимум на одном языке из набора: Java, PHP, Golang, C#, Ruby, Python
• Понимание основных методологий анализа защищенности /или тестирования на проникновение
• Понимание устройства современных веб приложений
• Умение автоматизировать задачи с помощью какого-либо скриптового языка программирования

Что нам также важно, но можем рассмотреть кандидатов и без этого:

• Умение реверса и опыт эксплуатации бинарных уязвимостей
• Наличие сертификаций в области offensive security
• Наличие баг в CVE или БДУ
• Выступления на профильных конференциях

Мы предлагаем: