Аудитор защищенности приложений (Application Security)

Мы в поисках инженера по направлению web application security.

Задачи:

• Аудит приложений методом белого и черного ящика, в основном: веб- и мобильные приложения;
• Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений;
• Подготовка отчётов по результатам проделанных работ;
• Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации;
• По желанию: участие в исследовательских (R&D) проектах в области безопасности приложений.

Требования:

• Системные знания современных веб-технологий — серверных и клиентских;
• Системные знания в области Application Securitу;
• Подтвержденный опыт системного анализа приложений как белым, так и черным ящиком;
• Навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках;
• Умение чётко и грамотно формулировать свои мысли в письменном виде;
• Навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси;
• Английский язык – на уровне понимания профессиональной технической литературы.

Преимуществом будут:

• Опыт разработки веб-приложений, знание современных шаблонов проектирования;
• Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
• Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE;
• Опыт участия в CTF, наличие самостоятельных исследований;
• Наличие профильных сертификатов (BSCP, OSWE).