Application security specialist

Что предстоит делать:

• Регулярный анализ на уязвимости разрабатываемых компанией продуктов (сканирование, выявление и эксплуатация уязвимостей, составление требований к code review и к архитектуре приложений).
• Проведение статического, динамического анализа кода, реверс-инжиниринг,
• Актуализация уязвимостей в DefectDojo.
• Взаимодействие с разработчиками для устранения уязвимостей.
• Подготовка отчетных материалов.
• Участие в текущей деятельности по разработке в качестве эксперта по кибербезопасности.
• Развитие процесса SDLC в продукте, настройка и эксплуатация соответствующих инструментов.

Мы предлагаем:

• Трудоустройство согласно ТК РФ;
• Регулярное корпоративное обучение;
• ДМС, страхование от несчастных случаев и тяжелых заболеваний;
• Материальная помощь и социальная поддержка, корпоративная пенсионная программа;
• Льготные условия кредитования;
• Яркая и насыщенная корпоративная жизнь.

Must-have skills:

• Знание технологий работы современных микросервисных приложений;
• Опыт работы с WAF;
• Знание и опыт применения основных инструментов для анализа уязвимости веб-приложений, владение навыками ручного и автоматизированного тестирования безопасности веб-приложений с помощью инструментов DAST;
• Понимание работы веб-протоколов и технологий (http, https, ajax, json, rest...), а также основных веб-уязвимостей;
• Знание угроз из OWASP TOP-10 для Web/App/API/Container, умение проводить основные атаки на веб-приложения: XSS, SQL injection, CSRF, RFI и LFI и т.д.;
• Навыки реверс инжениринга и тестирования мобильных приложений.
• Знание методологий OWASP и BSIMM 10;
• Знание гайдов OWASP по проведению тестирования на уязвимости.
• Навыки работы в Linux на уровне продвинутого пользователя или администратора.

Приветствуется:

• Наличие профильных сертификатов (CEH).
• Участие в bugbounty-программах.
• Навыки программирования или создания скриптов на bash/phyton.