
Главный инженер отдела контроля защищенности управления технической экспертизы.
Азиатско-Тихоокеанский Банк
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии
Чем предстоит заниматься:
•Проведение анализа защищенности (пентест) внешнего периметра и приложений;
•Тестирование веб-приложений, API-протоколов;
•Участие в процессе контроля уязвимостей;
•Формирование и развитие методологии тестирования, стандартов проведения работ и требований к отчётности;
•Разработка рекомендаций и контроль устранения выявленных уязвимостей;
•Написание отчётной документации по итогам проведённых работ.
Нам важно
•Высшее техническое (информационная безопасность, кибербезопасность);
•Обладание глубокими, фундаментальными знаниями в области ИБ;
•Опыт практического тестирования на проникновение веб-приложений от 3 лет, в том числе в роли ведущего специалиста по проектам;
•Глубокое знание OWASP Top 10, методологии OWASP WSTG, стандарта верификации OWASP ASVS;
•Способность самостоятельно определять методологию и объём работ исходя из специфики тестируемой системы;
•Опыт выявления и эксплуатации основных классов веб-уязвимостей: инъекции (SQL, командные, SSTI), XSS, SSRF, IDOR/BOLA, XXE, небезопасная десериализация, недостатки аутентификации и управления сессиями, LFI/RFI, логические уязвимости (обход бизнес-логики, манипуляции с финансовыми операциями, состояния гонки);
•Уверенное владение Burp Suite, включая разработку расширений;
•Понимание принципов работы веб-технологий: HTTP(S), TLS, управление сессиями, CORS, CSP, JWT, OAuth 2.0 / OpenID Connect, SAML;
•Навыки анализа исходного кода (PHP, Java, JavaScript, Python) для выявления уязвимостей; Навыки разработки скриптов автоматизации на Python и (или) Bash;
•Навыки разработки скриптов автоматизации на Python и (или) Bash
•Будет преимуществом:
•Опыт пост-эксплуатации и развития вектора атаки от внешнего веб-приложения во внутреннюю сеть; готовность развиваться в направлении Red Team;
•Наличие профильных сертификатов подтвержающих навыки в red team/pentest;
•Опыт работы в финансовом секторе;
•Участие в CTF, BugBounty;
•Опыт наставничества;
•Опыт тестирования защищённости мобильных приложений (Android, iOS)
Условия
•Официальное оформление с 1 дня
•Гибридный формат работы
•Корпоративные скидки на продукты банка

