Главный инженер отдела контроля защищенности управления технической экспертизы.

Азиатско-Тихоокеанский Банк
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии
Чем предстоит заниматься:
Проведение анализа защищенности (пентест) внешнего периметра и приложений;
Тестирование веб-приложений, API-протоколов;
Участие в процессе контроля уязвимостей;
Формирование и развитие методологии тестирования, стандартов проведения работ и требований к отчётности;
Разработка рекомендаций и контроль устранения выявленных уязвимостей;
Написание отчётной документации по итогам проведённых работ.
Нам важно
Высшее техническое (информационная безопасность, кибербезопасность);
Обладание глубокими, фундаментальными знаниями в области ИБ;
Опыт практического тестирования на проникновение веб-приложений от 3 лет, в том числе в роли ведущего специалиста по проектам;
Глубокое знание OWASP Top 10, методологии OWASP WSTG, стандарта верификации OWASP ASVS;
Способность самостоятельно определять методологию и объём работ исходя из специфики тестируемой системы;
Опыт выявления и эксплуатации основных классов веб-уязвимостей: инъекции (SQL, командные, SSTI), XSS, SSRF, IDOR/BOLA, XXE, небезопасная десериализация, недостатки аутентификации и управления сессиями, LFI/RFI, логические уязвимости (обход бизнес-логики, манипуляции с финансовыми операциями, состояния гонки);
Уверенное владение Burp Suite, включая разработку расширений;
Понимание принципов работы веб-технологий: HTTP(S), TLS, управление сессиями, CORS, CSP, JWT, OAuth 2.0 / OpenID Connect, SAML;
Навыки анализа исходного кода (PHP, Java, JavaScript, Python) для выявления уязвимостей; Навыки разработки скриптов автоматизации на Python и (или) Bash;
Навыки разработки скриптов автоматизации на Python и (или) Bash
Будет преимуществом:
Опыт пост-эксплуатации и развития вектора атаки от внешнего веб-приложения во внутреннюю сеть; готовность развиваться в направлении Red Team;
Наличие профильных сертификатов подтвержающих навыки в red team/pentest;
Опыт работы в финансовом секторе;
Участие в CTF, BugBounty;
Опыт наставничества;
Опыт тестирования защищённости мобильных приложений (Android, iOS)
Условия
Официальное оформление с 1 дня
Гибридный формат работы
Корпоративные скидки на продукты банка
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано2 дн назад
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.