Приветы,
я appsec с опытом пентестов, люблю искать и находить уязвимости в веб-приложениях, а ещё в свободное время люблю программировать на Python'е и Nim'е, изредка контребьючу шаблоны для Nuclei
Давай сразу на ты, моя тгшка: @ilia_gon
Что делаю:
[+] произвожу поиск и анализ уязвимостей в мобильных и веб-приложениях банка
[+] тесно сотрудничаю с продуктовыми командами для оперативного контроля и устранения обнаруженных уязвимостей согласно SLA, а также консультирую разработчиков по актуальным вопросам безопасности ПО;
[+] участвую в развитии процессов безопасной разработки программного обеспечения (Security SDLC), повышая уровень защищенности программных продуктов;
[+] разрабатываю собственные инструменты для автоматического тестирования безопасности и интегрирую их в процессы CI/CD;
[+] отвечаю за расширение понимания и знаний в области ИБ среди разработчиков, участвуя в организации обучающих встреч, воркшопов и внутренних CTF;
[+] участвую в процессе оценки рисков изменений (CRQ), проверяю изменения, внесённые командами, и одобряю их для выхода в релиз (gatekeeping);
[+] разбираю результаты регулярного сканирования DAST.
Что сделал:
[+] разработал сервис для проведения self-assessment'а для сотрудников банка который позволяет запускать инструменты SAST/SCA/Secret Scanning на репозитории Gitlab и посматривать отчеты по результатам сканирования.
Стек: Python, FastAPI, PostgreSQL, Tortoise ORM, LDAP, HashiCorp Vault, Kubernetes;
[+] переписал скрипт сбора статистики по текущем задачам с выгрузкой в Power BI, в связи с миграцией из Jira в SimpleOne
Стек: Python, SimpleOne, Power BI, Kubernetes.
Безопасил бизнес юнит VK ID — авторизация & аутентификация, критичный сервис с более чем 100м MAU и 50м DAU
Что делал:
[+] обеспечивал защиту разрабатываемых и используемых приложений компании, а также регулярно проводил анализ их безопасности;
[+] выполнял аудиты безопасности сервисов для выявления потенциальных уязвимостей и проблем безопасности;
[+] моделировал возможные угрозы и формировал требования безопасности приложений;
[+] консультировал разработчиков по вопросам безопасности и активно следил за процессом устранения обнаруженных уязвимостей;
[+] участвовал в разборе инцидентов ИБ.
Проводил ассессмент безопасности старой версии OAuth, и провел аудит новой версии OAuth 2.1 переписанной с нуля
Что делал:
[+] выполнял тесты на проникновение веб-приложений, инфры, мобилок у: банков, платежных шлюзов, онлайн-магазинов и прочих сервисов по стандартам PCI DSS;
[+] производил поиск уязвимостей прикладного и сетевого уровня в информационных системах;
[+] писал отчеты по результатам пентестов на Русском и Английском.
Самые крупные проекты:
[+] Проверка сегментации Деньги.Мэйл.Ру
[+] Тестирование на проникновение для: Островок.ру, Народный банк Казахстана, Яндекс, Ozon, Золотая Корона, Cryptopay Ltd.
Активно участвовал в выполнении проектов, демонстрируя способность эффективно управлять ресурсами и задачами, часто взяв на себя ответственность за два и более проекта одновременно. Выполнил 28 проектов, в которых принимал ключевую роль и работал независимо.
Что делал:
[+] триажил отчеты с багбаунти hackerone и работал с командами над устранением уязвимостей согласно SLA;
[+] участвовал во внутренних pentest’ах продуктов компании по 4 штуки каждую неделю;
[+] помогал команде с разработкой внутренних тулз.