Penetration Testing Specialist/Специалист по тестированию на проникновение CICADA8 (удаленная работа)

Вакансия: Penetration Testing Specialist/Специалист по тестированию на проникновение CICADA8

Описание вакансии

КОГО МЫ ИЩЕМ?

Senior Penetration Testing Specialist в продукт CICADA8

ОПИСАНИЕ ПРОДУКТА

Команда выполняет работы в области наступательной кибербезопасности. Выполняем проекты различного уровня сложности и специфики от класических тестов на проникновение до симуляций кибератак(red/purple team) и анализа защищенности аппаратной части.

ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ

• Проведение проектов по анализу защищённости и тестам на проникновение внешнего периметра;

• Исследование инфраструктуры: домены , ASN , приложения, облачные сервисы;

• Анализ исходного кода, поиск и верификация уязвимостей;

• Разработка и адаптация инструментов для автоматизации поиска и эксплуатации уязвимостей;

• Участие в Red Team-оценках и моделировании атак;

• Поиск 0-day уязвимостей, разработка PoC и 1-day эксплойтов

• Подготовка отчётов с воспроизведением и рекомендациями по устранению;

• Участие в обучение, развитие внутренних методик и базы знаний команды.

ЧТО НУЖНО ДЛЯ ЭТОЙ РАБОТЫ

• От 1 года опыта

• Опыт проведения атак на внешний периметра и эксплуатации уязвимостей на уровне инфраструктуры и приложений;

• Глубокое понимание веб-технологий: HTTP/HTTPS, REST/GraphQL, WebSockets, CORS, механизмы сессий, авторизация (JWT, OAuth2, SSO);

• Опыт поиска и эксплуатации server-side уязвимостей: RCE, SQLi, SSRF, XXE, LFI/RFI, Path Traversal, Race Conditions, Insecure Deserialization, Business Logic Bugs;

• Уверенное чтение и анализ исходного кода типовых для веб стэка

• Windows и Linux внутренняя архитектура, типовые механизмы безопасности, служебные компоненты, средства администрирования;

• Сетевые технологии протоколы TCP/IP, DNS, SMB, RPC, HTTP(S), VPN, VLAN, маршрутизация и фильтрация трафика;

• Навыки разработки PoC/эксплойтов и инструментов (Python, Go, PowerShell, Bash);

• Понимание техник обхода защиты и скрытия активности при выполнении атак;

• Владение инструментами: Burp Suite Pro, Nmap, sqlmap, wfuzz, Metasploit, BloodHound, NetExec, Wireshark, IDA/Ghidra и др.;

• Знание MITRE ATT&CK и методов построения TTP-сценариев;

• Приветствуется: OSCP, CRTO, OSEP, eCPPT, публикации CVE/БДУ, bug bounty-репорты, собственные разработки и исследования.

ЧТО ПРЕДЛАГАЕМ

• Гибридный или удаленный формат работы
• ДМС с первого месяца работы 100% покрытие всех медицинских расходов, включая стоматологию
• Выгодные скидки и специальные предложения от партнеров на фитнес, курсы английского и другие полезные активности
• Возможность регулярно повышать свой скилл: участие во внешних мероприятиях, митапах, обучениях, возможность ежегодной сдачи сертификаци
• Работа в команде опытных специалистов уровня Senior, победителей CTF соревнований
• Открытая и дружелюбная корпоративная культура, где каждый чувствует себя частью единой команды, общается на равных и всегда на ты . Мы ценим вклад каждого, поддерживаем инициативность и создаём комфортные условия для профессионального и личностного роста.