Специалист по тестированию безопасности веб-приложений

Мы Аспро — аккредитованная IT‑компания, лидер продаж 1С‑Битрикс и лучший автор решений на маркетплейсе 2013–2024. Создаем SaaS‑продукты и готовые решения для e‑commerce, развиваем экосистему на базе облачных сервисов, CMS и AI‑инструментов.

Ищем опытного специалиста (от 2 лет работы в аналогичной сфере), который сможет выявлять уязвимости наших продуктов и формировать стратегию защиты.

Чем предстоит заниматься:

• Проводить поиск и анализ уязвимостей веб‑сайтов, включая работы по методикам black‑box, grey‑box и white‑box.

• Систематизировать информацию об используемых ресурсах и помогать снижать риски путём проактивного мониторинга уязвимостей и возможных векторов атак.

• Проектировать и проводить комплексные проверки: составлять многоходовые планы атак, комбинируя даже незначительные недочёты.

• Формировать отчёты и рекомендации по устранению уязвимостей, взаимодействовать с разработчиками.

• Разрабатывать и поддерживать внутренние регламенты безопасности (SecOps).

• Постоянно отслеживать новости индустрии, новые техники атак и средства защиты.

Ожидаем от вас:

• Глубокое понимание OWASP Top 10, умение находить и эксплуатировать web‑уязвимости.

• Понимание специфики безопасности приложений, разработанных на CMS «1С-Битрикс».

• Навыки работы с основными инструментами пентеста.

• Понимание правовой базы: знание статей 272‑274 УК РФ.

• Гибкое мышление и интерес к исследованиям в сфере ИБ.

• Способность анализировать и восстанавливать цепочки событий в рамках инцидентов информационной безопасности.

Большим преимуществом будет:

• Успешный опыт участия в bug bounty.

• Знания законодательства РФ о персональных данных и требований ФСТЭК.

• Опыт взаимодействия с управлением «К» МВД.

• Знание скриптовых языков программирования для автоматизации рабочих процессов.

• Опыт исследования и выявления уязвимостей в системах, использующих искусственный интеллект (например, атаки на модели, промпт-инжекцию, обходы контекстных ограничений, data poisoning, уязвимости в API моделей).

• Понимание современных AI-угроз и интерес к направлениям AI Security / ML Security.

• Технический английский.

Что мы предлагаем:

• Официальное трудоустройство с первого дня, соцпакет: оплачиваемый отпуск и больничные, корпоративные занятия спортом.

• Конкурентная белая заработная плата, с возможностью ее грейдирования.

• График работы – пн-пт, с 9:30 до 18:00, только офисный формат.

• Офис на северо‑западе Челябинска со своей кухней, фруктами, зонами отдыха и PS5.

• Доступ к внутренней базе курсов и книг, менторство от топовых специалистов.

• Поддержка обучения и экспериментов с AI‑технологиями.

• Дружеская атмосфера: корпоративы и неформальные активности.