Инженер-пентестер

Novabev Group объединяет тех, кому важно расти и развиваться в профессии, кто вдохновлен развивать компанию и индустрию, готов брать на себя ответственность и заинтересован в получении нового профессионального опыта. Каждый сотрудник нашей команды делает вклад в успех группы, проявляя экспертизу, упорство и нестандартные подходы к решению задач. Корпоративная культура Novabev Group — это культура лидерства и внутреннего предпринимательства.

Основные задачи:

• Проведение ручного тестирования веб-приложений, API, внешнего периметра и приоритетных цифровых сервисов;
• Анализ и triage уязвимостей из Metascan, внешних пентестов и Bug Bounty;
• Валидация findings,подготовка mitigations и практических рекомендаций разработке, владельцам сервисов и IT;
• Участие в управлении внешними пентестами: scope, приемка результатов, ретест;
• Взаимодействие с SOC по атакам на внешние сервисы;
• Участие в развитии процессов AppSec, SSDLC, SAST/DAST/SCA и подготовке к Bug Bounty;
• Техническая помощь в инвентаризации и категоризации внешних веб-сервисов;
• Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей приложений, API и внешнего периметра;
• Выявление и анализ признаков технического фрода в цифровых каналах, включая злоупотребления бизнес-логикой, обход защитных механизмов, автоматизированные сценарии злоупотреблений, аномалии в API и клиентских сценариях;
• Подготовка технических рекомендаций по снижению риска фрода совместно с владельцами сервисов, разработкой, Anti-Fraud и SOC.

Ключевые требования к кандидату:

• Практический опыт ручного тестирования веб-приложений, API и внешнего периметра;
• Знание OWASP Top 10, типовых векторов атак, бизнес-логики, аутентификации/авторизации, IDOR, SSRF, XSS, SQLi и др.
• Понимание сценариев злоупотребления бизнес-логикой и технического фрода в цифровых каналах;
• Навыки анализа эксплуатационных цепочек атак и аномального поведения пользователей/клиентов/интеграций;
• Владение Burp Suite, Nmap, Metasploit, Postman/Insomnia, сканерами и вспомогательными утилитами;
• Понимание DAST/SAST/SCA, triage уязвимостей и валидации findings;
• Понимание архитектуры веб-сервисов, API, reverse proxy, сертификатов, публикации внешних ресурсов;
• Навыки подготовки понятных технических отчетов и mitigations;
• Опыт взаимодействия с разработкой, SOC и/или AppSec будет преимуществом.

Мы предлагаем:

• График 5/2 с 9:30 до 18:30 (обсуждаемо);
• Официальное трудоустройство по ТК РФ с первого дня работы;
• Программа лояльности BestBenefits;
• Подарки сотрудникам на Новый год, гендерные праздники;
• Развитая корпоративная культура;
• Возможность профессионального роста: обучение сотрудников, внешние тренинги и курсы повышения квалификации;
• Развитие сотрудников внутри компании, возможность карьерного роста;
• Кухонные зоны и чай, кофе, фрукты в офисе.