DatsTeam — международная группа компаний, которая разрабатывает собственные продукты с 2014 года: рекламные платформы, мобильные приложения, платёжные решения. Наш кластер продуктовой разработки насчитывает более 700 разработчиков, распределённых команд в разных городах России, СНГ и ЕС.
Мы ищем специалиста, который не просто умеет находить XSS и SQLi, а понимает логику веб-приложений на уровне взаимодействия компонентов, авторизации, маршрутизации и бизнес-логики. Вы умеете сочетать технические и нестандартные подходы для достижения целей Red Team операций. Знаете, как превратить уязвимость уровня приложения в полный контроль над инфраструктурой.
Вам интересны сложные сценарии: от SSRF в облако, до цепочек из Web → AD → Tier0. Вы разбираетесь в методах обхода защит, используете OPSEC-безопасные техники, тестируете гипотезы и дорабатываете payload'ы под конкретную цель.
Задачи
- Проведение пентестов и Red Team-операций с фокусом на веб-приложения.
- Поиск уязвимостей: RCE, IDOR, SSRF, SQLi, XSS, Template Injection, Auth bypass и др.
- Атакующие сценарии: компрометация сессий, токенов, механизмов SSO/OAuth/SAML, JWT и др.
- Построение цепочек атак: от уязвимости в вебе до доступа в инфраструктуру (Web2AD).
- Эксплуатация логических уязвимостей и нарушений бизнес-логики.
- Биндинг атак с внешними сервисами: DNS rebinding, OOB, exfiltration-каналы.
- Взаимодействие с инфраструктурными пентестерами и Red Team для объединённых сценариев.
- Разработка OPSEC-безопасных payload'ов: fileless, memory-only, evasion-friendly.
- Участие в операциях социальной инженерии и взаимодействие с физическими векторами (phishing + malicious web).
- Подготовка технической отчётности: баг-репорты, PoC, рекомендации.
- Валидация защит: WAF, RASP, CloudSec ― их возможности и ограничения.
- Разработка и кастомизация инструментов: сканеры, прокси, обфускаторы, payload-генераторы.
- Проведение purple team-сессий и участие в разработке detection use-cases (на основе выявленных TTP).
- Тестирование и валидация новых техник обхода защит: payload delivery, sandbox evasion, encoding, mutation.
- Отслеживание TTP APT-групп, участие в моделировании реальных атак.
- Участие в разработке и тестировании защищённых веб-приложений (secure design review).
- Внесение вклада в общую экспертизу команды по направлениям Web Offensive Security.
Вне Red Team операций
Когда нет активных Red Team-операций, работа включает в себя классический анализ безопасности веб-приложений (in-house):
- Проведение ручного и автоматизированного анализа безопасности веб-приложений компании на всех этапах жизненного цикла: от архитектуры до продакшена.
- Участие в безопасной разработке (secure SDLC): ревью дизайна, архитектуры, threat modeling, сопровождение внедрения безопасных практик.
- Тестирование новых фич и компонентов на предмет уязвимостей (gray-box, black-box подход).
- Проверка на соответствие внутренним требованиям безопасности и лучшим практикам (OWASP ASVS, MASVS, NIST, CIS).
- Подготовка рекомендаций по исправлению найденных уязвимостей, поддержка команд в процессе устранения.
- Участие в построении процесса безопасной разработки: внедрение SAST/DAST, обучение команд, улучшение пайплайнов.
- Анализ инцидентов безопасности, связанных с вебом (если возникают), и проработка улучшений.
- Поддержка базы знаний об уязвимостях, архитектурных паттернах и best practices в веб-безопасности.
- Тесное взаимодействие с инженерами приложений, DevOps, архитекторами, AppSec и SOC.
Требования
- Углублённые знания веб-уязвимостей (OWASP Top 10, Web2AD, SSRF chains, AuthN/AuthZ bypass и др.).
- Понимание и опыт эксплуатации: WAF bypass, SSRF to RCE, хищение токенов, session fixation, CORS misconfig.
- Знание архитектуры современных веб-приложений: SPA, API-first, OAuth/OIDC, SAML, JWT, CSRF protection.
- Опыт работы с облачными окружениями: AWS, Azure, GCP, особенно в контексте атак из веба.
- Навыки пост-эксплуатации на уровне веба: pivot, credential harvesting, persistence.
- Понимание DevSecOps и CI/CD пайплайнов: где и как возможны точки атаки.
- Знание offensive-инструментов: Burp Suite Pro, ffuf, kiterunner, nuclei, custom payloads, sqlmap, ysoserial, etc.
- Опыт написания и использования кастомных эксплойтов / скриптов / obfuscators.
- Знание техник обхода WAF/EDR/AV на уровне delivery- и execution-этапов.
- Понимание OPSEC: как не оставить артефактов, не спалить технику и не триггерить алерты.
- Знание MITRE ATT&CK и опыт участия в Red Team / Adversary Simulation операциях.
- Опыт составления отчётной документации, PoC и рекомендаций для dev/security команд.
- Английский ― на уровне чтения техдоков и общения по проектам.
Будет плюсом:
- Опыт атак на CI/CD, supply chain, package poisoning, npm/pip hijacking.
- Знание GraphQL, WebSockets, HTTP/2 и современных веб-технологий.
- Опыт тестирования мобильных API и взаимодействия с reverse engineering командой.
- Опыт построения или взлома SSO-решений.
- Сертификаты: OSWE, OSEP, GWAPT, CRTO, или аналогичные.
Мы предлагаем
- Участие в сложных проектах с реальными сценариями атак.
- Возможность развивать собственные инструменты и подходы, постоянное развитие: сертификации, лаборатории, RnD-время.
- Полную удалёнку, гибкий график и доверие к профессионализму.
- Влияние на подходы и методологии Red Team в компании.
- Оформление в штат компании или международный контракт. Несколько способов выплат.
- Full remote или гибридный офис, работа из любой страны.
- Соц.пакет: ДМС + со стоматологией, фитнес-клуб, корпоративный английский, льготная система по отпускам и больничным.
- Гибкий график ― лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день + перерывы на отдых на свое усмотрение.
- Возможность выбрать оборудование (mac, linux, windows, мониторы и пр.) — доставим на дом в РФ или поможем с закупкой зарубежом.
- Performance review, ежегодная индексация з/п.
- Развитая культура коммуникаций: турниры онлайн и офлайн, тех комьюнити, митапы, co-working дни, встречи и пати на летней веранде, тимбилдинги.
- Офис с панорамой на Москву-реку и летняя веранда с шашлыками, гамаками и пицце для тех, кто работает в Москве и локальные тимбилдинги в других городах и странах для удаленщиков.
Если ты хочешь не просто находить баги, а ломать так, как это делают настоящие атакующие, ― мы ждём тебя в команде.