Middle Penetration Tester

#вакансия #QA #manual #remote #fulltime #pentest #penetrationtester
Вакансия: Middle Penetration Tester
2000$

Проект @caps, мы разрабатываем игровую платформу на базе Telegram Mini Apps с финансовыми операциями через TON blockchain.

Платформа включает:
- депозиты и выводы в TON
- платежи через Telegram Stars (XTR)
- Gift / NFT marketplace
- real-time игровые механики (PvP, WebSocket взаимодействие)

Проект активно развивается, с реальными деньгами и высокой нагрузкой, поэтому безопасность — критически важная часть продукта.
Кого мы ищем
Мы ищем Middle Penetration Tester, который:
- умеет находить реальные уязвимости, а не только чеклистовые проблемы
- понимает бизнес-логику и финансовые риски
- хочет расти в направлении blockchain / fintech / gaming security


Ключевые обязанности
1. API и протоколы
- Анализ безопасности REST API endpoints
- Тестирование WebSocket взаимодействий
- Проверка rate limiting, anti-abuse механизмов
- Поиск уязвимостей авторизации и контроля доступа

2. Аудит бизнес-логики
- Анализ финансовых операций (балансы, списания, начисления)
- Поиск race condition и concurrency уязвимостей
- Проверка idempotency механизмов
- Анализ edge-case сценариев в анти-фрод логике
- Валидация игровых механик, влияющих на RTP

3. Blockchain security (TON)
- Тестирование TonConnect integration (proof verification, replay protection)
- Валидация депозитов и соответствия on-chain / off-chain данных
- Проверка withdrawal flow и адресной валидации
- Анализ replay и double-spend сценариев

Аудит смарт-контрактов не входит в обязанности — фокус на интеграции и backend-логике.

4. Платёжные системы
- Telegram Stars (XTR): invoice flow, callback validation
- TON транзакции: лимиты, payload encoding, edge cases
- Telegram Gifts: сценарии злоупотреблений

5. Базовый security-анализ инфраструктуры
- Проверка типовых угроз для PostgreSQL и Redis
- Анализ Docker-контейнеров на базовые security misconfigurations

Требования
Обязательно

- Опыт тестирования REST API (Burp Suite, Postman, Insomnia)
- Понимание аутентификации Telegram Mini Apps (initData, signature validation)
- Практический опыт работы с WebSocket протоколами
- Навыки поиска и эксплуатации уязвимостей:
IDOR, auth bypass
race conditions
business logic flaws
injections (SQL / NoSQL — на базовом уровне)
- Понимание принципов rate limiting и способов его обхода
- Умение писать структурированные отчёты о найденных уязвимостях
- Базовое понимание безопасности PostgreSQL и Redis

Будет плюсом
- Опыт с TON blockchain и TonConnect
- Telegram Stars / Gifts / Mini Apps security
- Участие в Bug Bounty программах
- CTF опыт (HackTheBox, TryHackMe и аналоги)
- Понимание replay / idempotency атак
- Базовые знания криптографии (nonce, signatures, proof of ownership)
- Опыт работы с Go backend
- Опыт анализа React / TypeScript frontend-кода
- Опыт security-анализа CI/CD пайплайнов

Что мы предлагаем
- Работа с реальным продуктом и реальными деньгами
- Возможность глубоко погрузиться в TON и Telegram экосистему
- Тесная работа с backend-разработчиками
- Влияние на архитектурные решения с точки зрения безопасности
- Адекватные ожидания от Middle-уровня
- Удалённый формат работы

Глубокая экспертиза в blockchain или крипте не обязательна — мы поможем погрузиться в домен.
Контакт для связи - Показать контакты