Эксперт по тестированию на проникновение (web pentest)

Присоединяйся к команде одного из ведущих системных интеграторов страны!
Уже 28 лет мы защищаем бизнес наших заказчиков от киберугроз. Строим комплексную ИБ для крупнейших компаний России и создаем технологичные ИБ-продукты.

Немного о нас:

• Более 500 экспертов с отраслевым опытом
• ТОП-3 ИБ-интеграторов по версии CNews Analytics
• Собственная ежегодная конференция ИБ - Jet Security Conference
• Свой CyberCamp с киберучениями для комьюнити

В группу практического анализа защищенности мы приглашаем эксперта по тестированию на проникновение.

Что предстоит:

• Проведение разнообразных видов тестирования на проникновения и анализа защищенности: веб-приложений и API, мобильных приложений, анализа исходного кода, работ в формате RedTeam;
• Подготовка рекомендаций по повышению уровня защищенности инфраструктуры Заказчиков;
• Координирование деятельности проектной команды;
• Осуществление менторства над менее опытными коллегами;
• Участие в пресейловых встречах;
• Разработка отчетов и проведения презентаций по результатам проекта;
• Собственное развитие и развитие компетенций отдела в области ИБ (участие в исследовательской деятельности).

Что необходимо:

• Опыт работы от трех лет в качестве пентестера;
• Высшее образование ИБ/ИТ, либо незаконченное высшее в этой же сфере;
• Знание нормативных документов в области ИБ, включая документы, связанные с практическим анализом защищенности;
• Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, PCI DSS, BSIMM);
• Углубленное знание работы веб-протоколов и технологий (HTTP(s), SOAP, AJAX, JSON, REST, сессии и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей;
• Умение читать и анализировать исходный код на распространенных языках программирования (Python, Java, PHP, C#), опыт аудита исходного кода на безопасность;
• Опыт работы с SAST (Checkmarx, SonarQube, Solar Appscreener, PT AI, semgrep) и умение писать правила для них;
• Опыт работы с инструментами: Dependency Check, phpggc, gadget-inspector, GCMiner, nuclei и т.п.;
• Опыт работ с инструментами для анализа безопасности мобильных приложений: Genymotion, Frida, MobSF, Stingray;
• Опыт разработки / умение предложить вариант исправления программной реализации;
• Понимание основных способов защиты от уязвимостей и ошибок в их реализации (как на уровне кода, так и наложенных СЗИ).

  
  Что будет плюсом:

• Участие в профессиональных соревнованиях (CTF, HTB) или Bug Bounty;
• Опыт администрирования web-серверов, *nix и Windows-систем;
• Наличие зарегистрированных уязвимостей (CVE, БДУ);
• Наличие профессиональных сертификатов (OSCP, eWPTv2, OSCE и подобных);
• Знание технологий виртуализации Docker, Kubernetes, ESXi;
• Опыт дизассемблирования;
• Опыт и умение получения Root/jailbreak на мобильных устройствах.
  

  
  Почему Джет?

• Аккредитованная ИТ-компания.
• Возможность вертикального/горизонтального роста и обмена опытом. Регулярные обучения, курсы и сертификации.
• Участие в профессиональных мероприятиях и соревнованиях. Таких как CTF, PHD и конечно же, наш CyberCamp.
• Гибкий социальный пакет. На выбор между ДМС, компенсацией фитнеса и изучением английского языка.
• Совместные активности. Бег, велоспорт, волейбол, йога, горные лыжи, сноуборд, пинг-понг, футбол, корпоративные клубы или просто PlayStation.
• Формат работы. Офис/гибрид/удаленка, график 5/2, обычно мы работаем с 10:00 до 18:30, но готовы обсудить удобное начало дня.
• Удобства в офисе. Тренажерный зал с инструкторами, массажист и массажные кресла, корпоративная библиотека, мед. кабинет, кофейни, лаунж-зоны и живые рыбки.
• Удобное расположение. В пешей доступности от м. Савеловская.
• Корпоративные скидки практически на все, что можно оплатить онлайн. От электроники до салонов красоты, от ресторанов до авиабилетов.