Скидка на вакансию
Скидка на первую вакансию
Акция до 22 декабря
Илья Гончаров (appsec), 25 лет, Россия, Санкт-ПетербургИлья Гончаров (appsec), 25 лет, Россия, Санкт-Петербург

Илья Гончаров

AppSec-инженерApplication Security engineerСтарший (Senior)
Не ищу работу

Контакты

Войти
Возраст: 25 лет
Опыт работы: 3 года и 5 месяцев
Регистрация: 06.07.2023
Последний визит: сегодня
Гражданство:
Местоположение: Россия, Санкт-Петербург
Дополнительно: готов к переезду и к удаленной работе
Знание языков: Английский В2

Обо мне

Приветы,
я appsec с опытом пентестов, люблю искать и находить уязвимости в веб-приложениях, а ещё в свободное время люблю программировать на Python'е и Nim'е, изредка контребьючу шаблоны для Nuclei
Давай сразу на ты, моя тгшка: @ilia_gon

Навыки

Python
OWASP
Информационная безопасность
Тестирование на проникновение
PCI DSS
Burp Suite
SAST/DAST

Опыт работы

  • Универсальный digital-банк, создающий продукты для розничных и корпоративных клиентов
    МоскваБолее 5000 сотрудников
    AppSec-инженер (Старший)Expert Application Security engineer
    Май 2024 — По настоящее время (8 месяцев)

    Что делаю:
    [+] произвожу поиск и анализ уязвимостей в мобильных и веб-приложениях банка
    [+] тесно сотрудничаю с продуктовыми командами для оперативного контроля и устранения обнаруженных уязвимостей согласно SLA, а также консультирую разработчиков по актуальным вопросам безопасности ПО;
    [+] участвую в развитии процессов безопасной разработки программного обеспечения (Security SDLC), повышая уровень защищенности программных продуктов;
    [+] разрабатываю собственные инструменты для автоматического тестирования безопасности и интегрирую их в процессы CI/CD;
    [+] отвечаю за расширение понимания и знаний в области ИБ среди разработчиков, участвуя в организации обучающих встреч, воркшопов и внутренних CTF;
    [+] участвую в процессе оценки рисков изменений (CRQ), проверяю изменения, внесённые командами, и одобряю их для выхода в релиз (gatekeeping);
    [+] разбираю результаты регулярного сканирования DAST.

    Что сделал:
    [+] разработал сервис для проведения self-assessment'а для сотрудников банка который позволяет запускать инструменты SAST/SCA/Secret Scanning на репозитории Gitlab и посматривать отчеты по результатам сканирования.
    Стек: Python, FastAPI, PostgreSQL, Tortoise ORM, LDAP, HashiCorp Vault, Kubernetes;

    [+] переписал скрипт сбора статистики по текущем задачам с выгрузкой в Power BI, в связи с миграцией из Jira в SimpleOne
    Стек: Python, SimpleOne, Power BI, Kubernetes.

  • Место встречи лучших
    МоскваБолее 5000 сотрудников
    AppSec-инженер (Средний)Application Security engineer
    Июль 2023 — Май 2024 (11 месяцев)

    Безопасил бизнес юнит VK ID — авторизация & аутентификация, критичный сервис с более чем 100м MAU и 50м DAU

    Что делал:
    [+] обеспечивал защиту разрабатываемых и используемых приложений компании, а также регулярно проводил анализ их безопасности;
    [+] выполнял аудиты безопасности сервисов для выявления потенциальных уязвимостей и проблем безопасности;
    [+] моделировал возможные угрозы и формировал требования безопасности приложений;
    [+] консультировал разработчиков по вопросам безопасности и активно следил за процессом устранения обнаруженных уязвимостей;
    [+] участвовал в разборе инцидентов ИБ.


    Проводил ассессмент безопасности старой версии OAuth, и провел аудит новой версии OAuth 2.1 переписанной с нуля

  • Консультационные и аудиторские услуги в сфере информационных технологий и информационной безопасности.
    Санкт-Петербург
    Пентестер (Средний)Pentester
    Ноябрь 2021 — Июль 2023 (1 год и 9 месяцев)

    Что делал:

    [+] выполнял тесты на проникновение веб-приложений, инфры, мобилок у: банков, платежных шлюзов, онлайн-магазинов и прочих сервисов по стандартам PCI DSS;
    [+] производил поиск уязвимостей прикладного и сетевого уровня в информационных системах;
    [+] писал отчеты по результатам пентестов на Русском и Английском.

    Самые крупные проекты:
    [+] Проверка сегментации Деньги.Мэйл.Ру
    [+] Тестирование на проникновение для: Островок.ру, Народный банк Казахстана, Яндекс, Ozon, Золотая Корона, Cryptopay Ltd.


    Активно участвовал в выполнении проектов, демонстрируя способность эффективно управлять ресурсами и задачами, часто взяв на себя ответственность за два и более проекта одновременно. Выполнил 28 проектов, в которых принимал ключевую роль и работал независимо.

  • Продуктовая IT-компания
    Санкт-ПетербургОт 1000 до 5000 сотрудников
    AppSec-инженер (Стажёр)Security Intern (Application Security)
    Август 2021 — Октябрь 2021 (3 месяца)

    Что делал:

    [+] триажил отчеты с багбаунти hackerone и работал с командами над устранением уязвимостей согласно SLA;

    [+] участвовал во внутренних pentest’ах продуктов компании по 4 штуки каждую неделю;

    [+] помогал команде с разработкой внутренних тулз.