📍 Москва (м. Кутузовская)Офис или гибрид
Специализация
Information Security
Технологии/инструменты
SASTOWASPPython/JavaScriptREST APISOAPGraphQLJSONMITRE ATT&CKSQLiXSSCSRFSSRFOAuthSAMLCAsOTP/TOTPMSTGWSTG
Сбербанк — крупнейший банк в России, Центральной и Восточной Европе, один из ведущих международных финансовых институтов.
Чем предстоит заниматься
- Определять потенциальные векторы атак на приложения.
- Декомпозировать продукт (приложение, автоматизированную систему, процесс) для формирования детального плана тестирования.
- Определять функции приложения, которые требуют обязательной проверки безопасности.
- Выявлять потенциальные уязвимости безопасности в web- и мобильных приложениях.
- Предоставлять рекомендации по устранению уязвимостей.
- Проводить оценку приложений на соответствие стандартам безопасности.
- Предоставлять разработчикам рекомендации по безопасному кодированию.
- Выполнять проверки программного кода, ориентированные на безопасность.
- Подготавливать отчеты по результатам выполненных работ.
- Обрабатывать отчёты программы Bug Bounty.
Мы ждём, что наш кандидат
- Умеет анализировать программный код с точки зрения безопасности.
- Обладает хорошими профессиональными коммуникативными навыками, письменными и устными.
- Умеет кратко и понятно описать выявленные уязвимости.
- Знает стандарты безопасности.
- Понимает архитектуру веб- и мобильных приложений.
- Владеет инструментами статического анализа, динамического анализа и инструментами тестирования на проникновение.
- Умеет писать четкие и краткие отчеты по безопасности и представлять результаты тестирования как техническим специалистам, так и не технической аудитории.
- Постоянно учится и умеет адаптироваться к меняющимся обстоятельствам.
- Имеет опыт составления и предоставления отчетов о проделанной работе.
- Умеет анализировать результаты статического анализа кода (SAST).
- Умеет разрабатывать детальный план тестирования.
- Очень хорошо понимает OWASP Top-10.
- Имеет опыт разработки и написания скриптов, например на Python, JavaScript.
- Знает и понимает основные принципы работы сетевых и web-протоколов (TCP/IP, UDP, HTTP, HTTPS и пр.).
- Разбирается в безопасности REST API, SOAP, GraphQL, JSON.
- Применяет гибкий и конструктивный подход при решении проблем.
- Понимает структуру MITRE ATT&CK.
- Способен обнаружить: SQLi, XSS, CSRF, SSRF, недостатки аутентификации и авторизации и другие web-уязвимости.
- Знает распространенные технологии аутентификации включая OAuth, SAML, CAs, OTP/TOTP.
- Знает MSTG, WSTG.
- Имеет опыт работы: 1–3 года.
Будет плюсом:
- Опыт участия в CTF.
- Опыт участия в программах Bug Bounty.
- Наличие сертификатов WAPT, OSWE, OSCP.
Что мы предлагаем
- Профессиональное обучение, семинары, тренинги, конференции.
- ДМС, сниженные ставки по кредитованию, программы лояльности для сотрудников.
- Самые инновационные, амбициозные проекты и задачи.
