Эксперт по тестированию на проникновение (web pentest) (удаленная работа)

19 октября 2024

Уровень зарплаты:
з.п. не указана
Требуемый опыт работы:
Не указан

Вакансия: Эксперт по тестированию на проникновение (web pentest)

Описание вакансии

Кто мы:

Центр информационной безопасности компании Инфосистемы Джет это профессиональное сообщество специалистов в области ИБ. Мы защищаем бизнес наших заказчиков от киберугроз.

  • 27 лет работы на рынке ИБ
  • ТОП-3 ИБ-интеграторов по версии CNews Analytics
  • 450+ ИБ-экспертов с отраслевым опытом
  • Собственная ежегодная конференция ИБ - Jet Security Conference
  • Лучший блог-эксперт на Хабр в области ИБ (Премия Corp Blog Awards в 2021 году)


В группу практического анализа защищенности мы приглашаем эксперта по тестированию на проникновение.

Обязанности:

  • Проведение разнообразных видов тестирования на проникновения и анализа защищенности: веб-приложений и API, мобильных приложений, анализа исходного кода, работ в формате RedTeam;
  • Подготовка рекомендаций по повышению уровня защищенности инфраструктуры Заказчиков;
  • Координирование деятельности проектной команды;
  • Осуществление менторства над менее опытными коллегами;
  • Участие в пресейловых встречах;
  • Разработка отчетов и проведения презентаций по результатам проекта;
  • Собственное развитие и развитие компетенций отдела в области ИБ (участие в исследовательской деятельности).

Требования:

  • Опыт работы от трех лет в качестве пентестера;
  • Высшее образование ИБ/ИТ, либо незаконченное высшее в этой же сфере;
  • Знание нормативных документов в области ИБ, включая документы, связанные с практическим анализом защищенности;
  • Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, PCI DSS, BSIMM);
  • Углубленное знание работы веб-протоколов и технологий (HTTP(s), SOAP, AJAX, JSON, REST, сессии и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей;
  • Умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, PHP, C#), опыт аудита исходного кода на безопасность;
  • Опыт работы с SAST (Checkmarx, SonarQube, Solar Appscreener, PT AI, semgrep) и умение писать правила для них;
  • Опыт работы с инструментами: Dependency Check, phpggc, gadget-inspector, GCMiner, nuclei и т.п.;
  • Опыт работ с инструментами для анализа безопасности мобильных приложений: Genymotion, Frida, MobSF, Stingray;
  • Опыт разработки / умение предложить вариант исправления программной реализации;
  • Понимание основных способов защиты от уязвимостей и ошибок в их реализации (как на уровне кода, так и наложенных СЗИ).

    Как преимущество:

  • Участие в профессиональных соревнованиях (CTF, HTB) или Bug Bounty;
  • Опыт администрирования web-серверов, *nix и Windows-систем;
  • Наличие зарегистрированных уязвимостей (CVE, БДУ);
  • Наличие профессиональных сертификатов (OSCP, eWPTv2, OSCE и подобных);
  • Знание технологий виртуализации Docker, Kubernetes, ESXi;
  • Опыт дизассемблирования;
  • Опыт и умение получения Root/jailbreak на мобильных устройствах.

Условия:

  • Офис в пешей доступности от м. Савеловская, возможен гибридный формат работы;
  • График работы 5/2 с 10.00 до 18.30;
  • Работу в команде крутейших экспертов по информационной безопасности;
  • Профессиональное обучение и сертификации за счёт компании;
  • Оформление по ТК РФ;
  • Заработную плату по результатам собеседования + премии по итогам работы;
  • Социальный пакет предполагает выбор между ДМС, изучением иностранных языков и абонементом в фитнес-центр;
  • Буфеты на территории компании, бесплатные завтраки для тех, кто любит приехать в офис пораньше
  • Возможность принять участие в ключевых конференциях по ИБ в качестве спикеров и участников, сразиться с хакерами на PHD и поучаствовать в CTF
  • Приходи к нам, вместе мы будем строить цифровое будущее и реализовывать крупнейшие ИТ-проекты в стране!