👋 Стартовала третья неделя марафона, посвящённая мотивации и отношениям в команде! Со Skyeng и IVI обсудим, как дружить с коллегами на удалёнке и находить в себе силы на работу и общение. Регистрируйтесь на страничке марафона и присоединяйтесь!
mrgorbovmrgorbov

Алексей Горбов

Application Security Engineer · Тестирование · Информационная безопасность · Старший (Senior)
От 200 000 ₽ · Открыт к предложениям
Возраст: 26 лет
Опыт работы: 2 года и 7 месяцев
Регистрация: 08.06.2015
Последний визит: 2 дня назад
Местоположение: Россия, Екатеринбург
Войдите, чтобы посмотреть контакты пользователя

Обо мне

Полностью самостоятельный, усидчивость, доведение дел до конца. Способность анализировать большой объем информации. Способность конценрироваться не только на одной задаче. Креативность.

Мои публикации -

https://codeby.net/threads/istorija-pervaja-nemnogo-udachi-ili-kak-zarabotat-na-bug-bounty.66008/

https://codeby.net/threads/kak-ja-provel-svoju-pervuju-external-entity-attack-ili-xxe-ujazvimost-istorija-vtoraja.66014/

https://codeby.net/threads/vse-takzhe-pro-xxe-razvivaemsja-vmeste-chast-tretja.66046/

Опыт работы

  • Разработка программного обеспечения в области информационной безопасности
    Москва · От 100 до 1000 сотрудников
    Application Security Manager
    Июль 2019 — По настоящее время (1 год и 5 месяцев)

    Внедрение и автоматизация мер безопасности в цикле безопасной разработки (SDLC);

    Работа и внедрение DAST инструментов такими как ZAP, Wallarm, Burp Enterprise.

    Работа и внедрение с SAST инструментами такими как Sonarqube.

    Работа с SCA инструментами такими как Dependency-Check, Dependency-Track

    Работа с Jira и Confluence.

    Совместная работа с DevOps инженерами по внедрению данных инструментов в CI/CD pipeline Gitlab.

    Совместная работа с QA тестировщиками при проведении смоук и регрессионного тестирования.

    Выявление уязвимых пакетов, используемых разработчиками.

    Проведение тестирования безопасности приложений перед каждым релизом, а также регулярные проверки в ручном режиме с помощью Burp Suite.

    Контроль тасков в Jira связанных с безопасностью приложения, контроль за выполнением и последующие тестирование.

    Подготовка стратегии тестирования на релиз.

    Проведение обучения сотрудников в виде еженедельных вебинаров, подготовка презентаций, консультирования по вопросам безопасности.

    Совместная работа с Team Lead и командами для внедрения различных мер защиты.

    Создание корпоративной базы, связанной с безопасностью и различными атаками.

    Понимание процесса цикла разработки.

    Подготовка отчетов о проделанной работе как для внутреннего использования, так и для топ менеджмента, анализе защищённости, результатов работы различных сканеров и.т.д

    Анализ рисков и моделирование веб-угроз приложения.

  • Информационная безопасность
    Екатеринбург · От 10 до 100 сотрудников
    Специалист по тестированию безопасности информационных сисетм
    Май 2018 — Июль 2019 (1 год и 3 месяца)

    Проведение тестирования на проникновение как внешние так и внутреннее. Разработка инструкций а также использование социальной инженерии
    в проектах. Уверенная работа с Metasploit,PowershellEmpire,BurpSuite,Responder,Inveigh,Aquaton,dirsearch,Mimikatz,Gophish,Wireshark, PowerView, PowerSploit,Sqlmapm, XSSStrike, и другими. Понимание структуры AD, повышение привилегий в AD, разведка AD, использование
    различных атак на контроллер домена таких как DCSync, DCShadow, DPAPI и других. Получение доступа к критическим элементам - NAS, гипервизоры, базы данных, 1C. Понимание работы SMB, ssh, http, https, soap, RDP. Уверенный пользователь Linux и Windows. Понимание методов обнаружения атаки на AD. Повышение привилегий на Lunix. Поиск уязвимостей в веб приложениях, участие в Bug Bounty программах.

    Понимание и иcпользование методологии OWASP. Понимание и опыт работы с такими уязвимостями как XSS, XXE, SQL inject, RCE, сириализация в PHP Ruby Java, атаки на JWT web tokens, CBC-MAC, уязимости связанные с GIT, CSRF, обход CSP,CORS, LFI, RFI, Subdomain Takeover, GraphQL inject. Нахождение конечных точек в вебприложении с помощью анализа JS. Работа с сервисами dnsdb scout,shodan, censys. Понимание и использование эксплоитов к различным CVE. Понимание и работа c Apache2 настройка и использование SSl сертификатов, настройка dovecot и posfix, настройка DKIM/SPF/DMARC. Верстка сайтов для фишинга.
    Понимание тестирования Android приложений.
    Тестирование Wi-fi.
    Работа с гипервизорами Hyper-V, ESX. Работа c bad usb.
    Общение с заказчиками. Оценка времени на проведение тестирования.
    Понимание работы WAF и IDS.
    Составление отчетов по проведенным тестированиям.

Высшее образование

  • УрГЭУ

    Уральский государственный экономический университет
    Екатеринбург · 162 выпускника
    Заочного обучения
    Июнь 2014 — Июнь 2017 (3 года)