10 часов назад
Эксперт Red Team / Penetration Testing (Cybersecurity)
Вакансия из Telegram канала - Мэтч & Сопровод
Покажет вашу совместимость и напишет письмо
Описание вакансии
Эксперт Red team / Penetration testing.
Локация: Можно работать удаленно.
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ДОМ.РФ.
Чем предстоит заниматься:
• Проведение регулярного анализа защищенности веб-приложений, API, публичных сервисов и внешнего периметра компании.
• Ручное тестирование веб-приложений на наличие уязвимостей в логике, механизмах аутентификации, авторизации, обработке пользовательского ввода, управлении сессиями и работе с чувствительными данными.
• Анализ защищенности API: REST, SOAP, GraphQL, WebSocket, проверка контроля доступа, корректности обработки токенов, ограничений на частоту запросов и защиты от злоупотреблений бизнес-логикой.
• Поиск и подтвержденная эксплуатация уязвимостей публичных сервисов и облачных активов с эмуляцией релевантных для отрасли TTPs.
• Подготовка proof-of-concept для подтверждения уязвимостей в согласованных рамках, без нарушения доступности и целостности продуктивных систем.
• Планирование и проведение кампаний контролируемого фишинга: разработка сценариев, подготовка инфраструктуры и проведение социотехнических мероприятий.
• Подготовка детализированных отчетов по результатам работ: описание найденных уязвимостей, сценариев. эксплуатации, рисков, возможного влияния на бизнес и рекомендаций по устранению.
• Участие в развитии внутренних методик анализа защищенности, чек-листов, сценариев тестирования и базы знаний по типовым уязвимостям.
• Проведение повторных проверок после устранения уязвимостей и подтверждение корректности реализованных мер защиты.
Требования:
• Опыт работы в наступательной безопасности: penetration testing, red team, анализ защищенности веб-приложений и API от 3 лет.
• Уверенное знание методологий и практик тестирования защищенности: OWASP WSTG, OWASP Top 10, OWASP API Security Top 10, PTES, MITRE ATT&CK.
• Практический опыт ручного анализа защищенности веб-приложений, API и публичных сервисов, включая поиск, подтверждение и описание уязвимостей.
• Уверенное владение инструментами анализа веб-приложений: Burp Suite Pro, OWASP ZAP, браузерные DevTools, ffuf, gobuster, dirsearch, sqlmap, nuclei, nmap и т.д.
• Опыт работы со сканерами уязвимостей и средствами автоматизированного анализа защищенности: Nessus, Acunetix или аналогичными решениями.
• Понимание современных веб-технологий и архитектур: HTTP/HTTPS, REST, SOAP, GraphQL, WebSocket, JWT, OAuth 2.0, CSP, SSRF-защиты и т.д.
• Практический опыт выявления и эксплуатации типовых и сложных уязвимостей веб-приложений: SQLi, XSS, CSRF, SSRF, XXE, SSTI, RCE, LFI/RFI, IDOR, path traversal, open redirect и т.д.
• Опыт эксплуатации уязвимостей публичных сервисов: VPN-шлюзы, почтовые сервисы, веб-приложения и API, DevOps-инфраструктура, облачные активы.
• Опыт планирования и проведения кампаний контролируемого фишинга: GoPhish, Evilginx2 или аналоги, настройка инфраструктуры рассылки, разработка сценариев под целевые группы.
• Умение подготавливать технические отчеты по результатам тестирования: описание вектора атаки, шагов воспроизведения, уровня риска, бизнес-влияния и практических рекомендаций по устранению.
• Навыки чтения и анализа кода приветствуются: Python, JavaScript/TypeScript, Java, PHP, C#, Go или другие языки, используемые в веб-разработке.
✈
#Офис
Локация: Можно работать удаленно.
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ДОМ.РФ.
Чем предстоит заниматься:
• Проведение регулярного анализа защищенности веб-приложений, API, публичных сервисов и внешнего периметра компании.
• Ручное тестирование веб-приложений на наличие уязвимостей в логике, механизмах аутентификации, авторизации, обработке пользовательского ввода, управлении сессиями и работе с чувствительными данными.
• Анализ защищенности API: REST, SOAP, GraphQL, WebSocket, проверка контроля доступа, корректности обработки токенов, ограничений на частоту запросов и защиты от злоупотреблений бизнес-логикой.
• Поиск и подтвержденная эксплуатация уязвимостей публичных сервисов и облачных активов с эмуляцией релевантных для отрасли TTPs.
• Подготовка proof-of-concept для подтверждения уязвимостей в согласованных рамках, без нарушения доступности и целостности продуктивных систем.
• Планирование и проведение кампаний контролируемого фишинга: разработка сценариев, подготовка инфраструктуры и проведение социотехнических мероприятий.
• Подготовка детализированных отчетов по результатам работ: описание найденных уязвимостей, сценариев. эксплуатации, рисков, возможного влияния на бизнес и рекомендаций по устранению.
• Участие в развитии внутренних методик анализа защищенности, чек-листов, сценариев тестирования и базы знаний по типовым уязвимостям.
• Проведение повторных проверок после устранения уязвимостей и подтверждение корректности реализованных мер защиты.
Требования:
• Опыт работы в наступательной безопасности: penetration testing, red team, анализ защищенности веб-приложений и API от 3 лет.
• Уверенное знание методологий и практик тестирования защищенности: OWASP WSTG, OWASP Top 10, OWASP API Security Top 10, PTES, MITRE ATT&CK.
• Практический опыт ручного анализа защищенности веб-приложений, API и публичных сервисов, включая поиск, подтверждение и описание уязвимостей.
• Уверенное владение инструментами анализа веб-приложений: Burp Suite Pro, OWASP ZAP, браузерные DevTools, ffuf, gobuster, dirsearch, sqlmap, nuclei, nmap и т.д.
• Опыт работы со сканерами уязвимостей и средствами автоматизированного анализа защищенности: Nessus, Acunetix или аналогичными решениями.
• Понимание современных веб-технологий и архитектур: HTTP/HTTPS, REST, SOAP, GraphQL, WebSocket, JWT, OAuth 2.0, CSP, SSRF-защиты и т.д.
• Практический опыт выявления и эксплуатации типовых и сложных уязвимостей веб-приложений: SQLi, XSS, CSRF, SSRF, XXE, SSTI, RCE, LFI/RFI, IDOR, path traversal, open redirect и т.д.
• Опыт эксплуатации уязвимостей публичных сервисов: VPN-шлюзы, почтовые сервисы, веб-приложения и API, DevOps-инфраструктура, облачные активы.
• Опыт планирования и проведения кампаний контролируемого фишинга: GoPhish, Evilginx2 или аналоги, настройка инфраструктуры рассылки, разработка сценариев под целевые группы.
• Умение подготавливать технические отчеты по результатам тестирования: описание вектора атаки, шагов воспроизведения, уровня риска, бизнес-влияния и практических рекомендаций по устранению.
• Навыки чтения и анализа кода приветствуются: Python, JavaScript/TypeScript, Java, PHP, C#, Go или другие языки, используемые в веб-разработке.
#Офис
Будьте осторожны: если работодатель просит войти в их систему, используя iCloud/Google, прислать код/пароль, запустить код/ПО, не делайте этого - это мошенники. Обязательно жмите "Пожаловаться" или пишите в поддержку. Подробнее в гайде →
Текст вакансии взят без изменений
Источник -
Похожие вакансии
Арт-Финтех
4 дня назад
Эксперт AppSec
200 000₽
Rossko
2 дня назад
Специалист по информационной безопасности (Пентестер)
400 000₽
СОГАЗ
6 дней назад
Junior Пентестер (1С)
R-Vision
13 часов назад
AppSec Engineer (Web Pentest)
Rubytech
5 дней назад
Эксперт по информационной безопасности (КИИ АСУ ТП)
Билайн
3 дня назад