Пентестер веб приложений

Срок для отклика истек

Описание вакансии

ЗАДАЧИ:

  • Анализ защищенности веб-приложений и информационных систем (blackbox/graybox/whitebox)
  • Анализ исходного кода на уязвимости
  • Анализ ИБ архитектуры веб-приложений и ИС
  • Автоматизация процесса нахождения типовых уязвимостей веб-приложений
  • Разработка рекомендаций по устранению уязвимостей и контроль их устранения
  • Взаимодействие с ответственными от команд разработки по вопросам устранения уязвимостей

ТРЕБОВАНИЯ:

  • Практический опыт проведения тестирования веб-приложений и информационных систем на уязвимости
  • Понимание принципов атак на веб-приложения и информационные системы с использованием уязвимостей из OWASP TOP 10
  • Знание как минимум одного языка программирования (go, java, python, php).
  • Навыки анализа исходного кода (PHP, Java, js, C#, Python).
  • Знание стека TCP/IP и опыт работы со средствами анализа сетевого трафика (Burp Suite, OWASP ZAP, Fiddler, Wireshark)
  • Знание Web-технологий (CMS, Web-Servers, SQL, WAF) и основных framework'ов (flask, laravel, spring, symfony, node.js и др)
  • Умение разобраться в архитектуре веб-приложения и ИС
  • Понимание принципов работы и технологий веб-приложений (websocket, REST, SOAP и т.д.; CORS, HSTS, SOP, CSP; OpenID, OAuth2 и др.);
  • Знание принципов работы микросервисной архитектуры веб-приложений

БУДЕТ ПЛЮСОМ:

  • Опыт разработки веб-приложений (бэкграунд full-stack разработчика)
  • Сертификация в области практической безопасности (OSWE/GWAPT и т.д.)
  • Опыт участия в программах поиска уязвимостей(bug bounty)
  • Опыт проведения комплексного анализа защищенности платежных инфраструктур и ДБО
  • Опыт участия в CTF
  • Опыт администрирования ОС Win/*nix, конфигурирования веб-серверов.
  • Опыт проведения пентеста веб-приложений на облачных инфраструктурах (AWS, GCP, Azure и т.п.)
  • Опыт участия в Red Team