Web penetration‑тестировщик от Middle

Технократия цифровизирует бизнес: от небольших компаний до крупных корпораций. СИБУР Диджитал, Камаз Digital, Татнефть, Университет Иннополис — наши клиенты. А ещё внутренние продукты, которые мы выводим на рынок.

У нас прозрачные процессы, понятная система грейдов и прогнозируемый рост, культура наставничества, возможность влиять на проекты и быть услышанным.

Ищем в нашу команду Web penetration‑тестировщика.

Чем предстоит заниматься:

• Тестировать безопасность Web‑приложений и API (REST, GraphQL, gRPC, WebSocket) в Black‑, Gray‑ и White‑box‑режимах.
• Расширять Burp Suite Pro (Extender API), писать собственные BApp‑плагины, настраивать автоматизацию via Nuclei, ffuf, ParamSpider.
• Выполнять сложные цепочки атак: SSRF → Cloud metadata‑steal → RCE → lateral move, bypass WAF и CSP.
• Анализировать уязвимости клиентской логики (business logic flaws, race‑conditions) и новые классы атак (HTTP/2 rapid‑reset).
• Интегрировать результаты pentest’ов в Secure SDLC: писать SAST/DAST‑гейты для GitLab CI, рекомендовать контроли ASVS 4.0.
• Подготавливать отчёты высокого уровня, проводить воркшопы для разработчиков и DevSecOps‑команд.

Что мы ожидаем:

• Уверенное владение HTTP 1.1/2/3, TLS, браузерным SOP/CSP, понимание механизмов OAuth 2.1, OIDC, SAML 2.0.
• Практика эксплуатации Injection‑семейства (SQL / NoSQL / XXE / LDAP) и client‑side XSS / DOM‑Based XSS.
• Опыт работы с контейнерной и серверless‑инфраструктурой (Docker, Kubernetes, AWS Lambda, Azure Functions).
• Знание CI/CD‑платформ (GitHub Actions, GitLab Runners), умение устранять secrets‑leaks и настроить IaC‑сканеры.

Будет плюсом:

• Сертификаты OSWE, eWPTXv2, GWAPT или топ‑позиции в Bug Bounty‑программах (HackerOne, BugCrowd, Yandex).
• Опыт аудита цепочек поставок (SBOM, SLSA Level 3+), разработка кастомных Nuclei‑темплейтов.
• Понимание внутренних механизмов современных фреймворков (Next.js, NestJS, SvelteKit) и атак на их специфические компоненты.

Никаких подводных камней:​​​​​​​

• Современный стек и поддержка ваших технических инициатив;
• Топовая техника при трудоустройстве;
• Нетоксичная и амбициозная атмосфера;

• Культура наставничества. Продвигайся вверх бок о бок с лучшими — наши руководители направлений признанные эксперты в профессиональном сообществе, ты тоже можешь быть одним из них;

• Индивидуальные планы развития и карты знаний для прогнозируемого карьерного роста;

• Компенсация психологических услуг;

• Уроки английского языка, йога в офисе и собственная футбольная команда;

• Возможность работать в офисе или удаленно.