Dats.Team

Web Pentester / Red Team Web Specialist

в Dats.Team

300 000 —‍ 450 000 ₽/мес на руки

📍 Москва (м. Тульская)Полная удалёнка
Специализация
Information Security
Уровень
Senior
Английский
B1 — IntermediateB1 — Intermediate

Технологии/инструменты

OWASP Top 10Web2ADSSRF chainsAuthN/AuthZ bypassWAF bypassSSRF to RCESPAAPI-firstOAuthOIDCSAMLJWTAWSAzureGCPPivotPersistenceCI/CDBurp Suite Proffufkiterunnernucleicustom payloadssqlmapysoserialWAF / EDR / AVMITRE ATT&CK

DatsTeam — международная группа компаний, которая разрабатывает собственные продукты с 2014 года: рекламные платформы, мобильные приложения, платёжные решения. Наш кластер продуктовой разработки насчитывает более 700 разработчиков, распределённых команд в разных городах России, СНГ и ЕС.

Мы ищем специалиста, который не просто умеет находить XSS и SQLi, а понимает логику веб-приложений на уровне взаимодействия компонентов, авторизации, маршрутизации и бизнес-логики. Вы умеете сочетать технические и нестандартные подходы для достижения целей Red Team операций. Знаете, как превратить уязвимость уровня приложения в полный контроль над инфраструктурой.

Вам интересны сложные сценарии: от SSRF в облако, до цепочек из Web → AD → Tier0. Вы разбираетесь в методах обхода защит, используете OPSEC-безопасные техники, тестируете гипотезы и дорабатываете payload'ы под конкретную цель.

Задачи

  • Проведение пентестов и Red Team-операций с фокусом на веб-приложения.
  • Поиск уязвимостей: RCE, IDOR, SSRF, SQLi, XSS, Template Injection, Auth bypass и др.
  • Атакующие сценарии: компрометация сессий, токенов, механизмов SSO/OAuth/SAML, JWT и др.
  • Построение цепочек атак: от уязвимости в вебе до доступа в инфраструктуру (Web2AD).
  • Эксплуатация логических уязвимостей и нарушений бизнес-логики.
  • Биндинг атак с внешними сервисами: DNS rebinding, OOB, exfiltration-каналы.
  • Взаимодействие с инфраструктурными пентестерами и Red Team для объединённых сценариев.
  • Разработка OPSEC-безопасных payload'ов: fileless, memory-only, evasion-friendly.
  • Участие в операциях социальной инженерии и взаимодействие с физическими векторами (phishing + malicious web).
  • Подготовка технической отчётности: баг-репорты, PoC, рекомендации.
  • Валидация защит: WAF, RASP, CloudSec ― их возможности и ограничения.
  • Разработка и кастомизация инструментов: сканеры, прокси, обфускаторы, payload-генераторы.
  • Проведение purple team-сессий и участие в разработке detection use-cases (на основе выявленных TTP).
  • Тестирование и валидация новых техник обхода защит: payload delivery, sandbox evasion, encoding, mutation.
  • Отслеживание TTP APT-групп, участие в моделировании реальных атак.
  • Участие в разработке и тестировании защищённых веб-приложений (secure design review).
  • Внесение вклада в общую экспертизу команды по направлениям Web Offensive Security.

Вне Red Team операций

Когда нет активных Red Team-операций, работа включает в себя классический анализ безопасности веб-приложений (in-house):

  • Проведение ручного и автоматизированного анализа безопасности веб-приложений компании на всех этапах жизненного цикла: от архитектуры до продакшена.
  • Участие в безопасной разработке (secure SDLC): ревью дизайна, архитектуры, threat modeling, сопровождение внедрения безопасных практик.
  • Тестирование новых фич и компонентов на предмет уязвимостей (gray-box, black-box подход).
  • Проверка на соответствие внутренним требованиям безопасности и лучшим практикам (OWASP ASVS, MASVS, NIST, CIS).
  • Подготовка рекомендаций по исправлению найденных уязвимостей, поддержка команд в процессе устранения.
  • Участие в построении процесса безопасной разработки: внедрение SAST/DAST, обучение команд, улучшение пайплайнов.
  • Анализ инцидентов безопасности, связанных с вебом (если возникают), и проработка улучшений.
  • Поддержка базы знаний об уязвимостях, архитектурных паттернах и best practices в веб-безопасности.
  • Тесное взаимодействие с инженерами приложений, DevOps, архитекторами, AppSec и SOC.

Требования

  • Углублённые знания веб-уязвимостей (OWASP Top 10, Web2AD, SSRF chains, AuthN/AuthZ bypass и др.).
  • Понимание и опыт эксплуатации: WAF bypass, SSRF to RCE, хищение токенов, session fixation, CORS misconfig.
  • Знание архитектуры современных веб-приложений: SPA, API-first, OAuth/OIDC, SAML, JWT, CSRF protection.
  • Опыт работы с облачными окружениями: AWS, Azure, GCP, особенно в контексте атак из веба.
  • Навыки пост-эксплуатации на уровне веба: pivot, credential harvesting, persistence.
  • Понимание DevSecOps и CI/CD пайплайнов: где и как возможны точки атаки.
  • Знание offensive-инструментов: Burp Suite Pro, ffuf, kiterunner, nuclei, custom payloads, sqlmap, ysoserial, etc.
  • Опыт написания и использования кастомных эксплойтов / скриптов / obfuscators.
  • Знание техник обхода WAF/EDR/AV на уровне delivery- и execution-этапов.
  • Понимание OPSEC: как не оставить артефактов, не спалить технику и не триггерить алерты.
  • Знание MITRE ATT&CK и опыт участия в Red Team / Adversary Simulation операциях.
  • Опыт составления отчётной документации, PoC и рекомендаций для dev/security команд.
  • Английский ― на уровне чтения техдоков и общения по проектам.

Будет плюсом:

  • Опыт атак на CI/CD, supply chain, package poisoning, npm/pip hijacking.
  • Знание GraphQL, WebSockets, HTTP/2 и современных веб-технологий.
  • Опыт тестирования мобильных API и взаимодействия с reverse engineering командой.
  • Опыт построения или взлома SSO-решений.
  • Сертификаты: OSWE, OSEP, GWAPT, CRTO, или аналогичные.

Мы предлагаем

  • Участие в сложных проектах с реальными сценариями атак.
  • Возможность развивать собственные инструменты и подходы, постоянное развитие: сертификации, лаборатории, RnD-время.
  • Полную удалёнку, гибкий график и доверие к профессионализму.
  • Влияние на подходы и методологии Red Team в компании.
  • Оформление в штат компании или международный контракт. Несколько способов выплат.
  • Full remote или гибридный офис, работа из любой страны.
  • Соц.пакет: ДМС + со стоматологией, фитнес-клуб, корпоративный английский, льготная система по отпускам и больничным.
  • Гибкий график ― лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день + перерывы на отдых на свое усмотрение.
  • Возможность выбрать оборудование (mac, linux, windows, мониторы и пр.) — доставим на дом в РФ или поможем с закупкой зарубежом.
  • Performance review, ежегодная индексация з/п.
  • Развитая культура коммуникаций: турниры онлайн и офлайн, тех комьюнити, митапы, co-working дни, встречи и пати на летней веранде, тимбилдинги.
  • Офис с панорамой на Москву-реку и летняя веранда с шашлыками, гамаками и пицце для тех, кто работает в Москве и локальные тимбилдинги в других городах и странах для удаленщиков.

Если ты хочешь не просто находить баги, а ломать так, как это делают настоящие атакующие, ― мы ждём тебя в команде.

Анна Киселева IT-рекрутер
Dats.Team

О компании Dats.Team

Сфера
Продуктовая компания
Размер
1001+

Dats.Team — динамично развивающаяся IT-компания. Компания создаёт собственные продукты с 2012 года: от рекламных и игровых платформ до мобильных приложений и платёжных систем. Dev-команда насчитывает более 800 разработчиков, и они продолжают расти.

С 2021 года организуют игровые хакатоны для ИТ-сообщества и получили награды в номинации "Лучший GameJam с продуманной тематикой" на «HACK AWARDS: Хакатоны России» в 2024 и 2025 годах!

Похожие вакансии

6 000 – 8 000 $/мес на руки
📍 Бразилия, Сербия, Аргентина, Черногория, Испания, Португалия, Мексика, Польша, полная удалёнка
5 000 – 7 000 €/мес на руки
Полная удалёнка
4 000 – 6 000 €/мес на руки
📍 Европа, Казахстан, Армения, Грузия, полная удалёнка
300 000 – 400 000 ₽/мес на руки
📍 Москва (м. Тульская), полная удалёнка
300 000 – 450 000 ₽/мес на руки
📍 Москва (м. Тульская), полная удалёнка