Инженер по информационной безопасности (Application Security)

Местоположение и тип занятости

МоскваПолный рабочий деньМожно удаленно

Компания

Место встречи лучших

Описание вакансии

Условия работы

VK — технологии, которые объединяют

Мы помогаем людям объединяться для того, что для них действительно важно. С нами ты будешь создавать и развивать сервисы для миллионов пользователей, которые помогают общаться, работать, учиться, решать бытовые задачи и развлекаться. Для нас важно делать технологии доступными для каждого и постоянно совершенствовать наши продукты.

Наша команда — это профессионалы из разных сфер, которые умеют реализовывать необычные и сложные идеи и задачи. Обмениваясь опытом, мы создаём новые идеи и достигаем большего.

Если ты любишь решать сложные задачи, экспериментировать и создавать продукты для миллионов пользователей — присоединяйся, чтобы вместе развивать интернет и определять его будущее.

Информационная безопасность — это все, что касается безопасности наших пользователей, продуктов, сетей и серверов. А также это непрерывное взаимодействие с инженерами, которые разрабатывают и поддерживают наши проекты.

У нас работает самая крупная среди российских компаний Bug Bounty программа. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов в команде информационной безопасности.

Мы активно усиливаем нашу команду информационной безопасности, поэтому прямо сейчас ищем инженеров Application Security различной квалификации (от junior+ до senior).

Задачи:

  • обеспечение защиты разрабатываемых и используемых приложений компании;
  • проведение аудитов безопасности сервисов;
  • моделирование угроз и формирование требований безопасности веб-приложений;
  • консультирование разработчиков и контроль устранения выявленных уязвимостей;
  • выявление и реагирование на инциденты ИБ, проведение внутренних расследований.

Требования:

  • опыт анализа защищенности веб-приложений (Black Box, White Box, Grey Box);
  • понимание принципов работы систем аутентификации и авторизации (OAuth, SAML, 2FA);
  • знание Bash, Python или любого другого средства скриптовой автоматизации;
  • опыт работы со сканерами уязвимостей (Burp Suite, Netsparker, Acunetix);
  • знание Client-Side и Server-Side уязвимостей (в идеале - тебе знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, Clickjaking, CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF. Но если не знаешь - расскажем и научим);
  • умение читать код и выявлять ошибки.

Будет плюсом:

  • понимание языков программирования Python и Go;
  • наличие репортов о найденных уязвимостях в программах Bug Bounty;
  • наличие профильных сертификатов (OSCP, OSWE, CDP);
  • понимание Application Security;
  • понимание цикла CI/CD и DevOps;
  • опыт выступления на профильных конференциях и написания профильных статей.

Работа в VK— это:

  • возможность создавать продукты и сервисы, которые меняют к лучшему жизнь миллионов пользователей;
  • амбициозные задачи, масштабные проекты и возможности для профессионального роста;
  • совместные интересы и увлечения: помогаем раскрывать таланты и отлично проводить свободное время;
  • работа в команде профессионалов из разных сфер, которые всегда готовы поделиться опытом;
  • программа благополучия: заботимся о здоровье и хорошем самочувствии сотрудников.

Мы будем рады твоему отклику и, при обоюдном интересе, предложим условия и проекты, от которых не захочется отказываться.​​​​​