Вообще все курсы Хекслета бесплатные! Но только до 15 декабря. Всё, что нужно → принять вызов

Инженер по информационной безопасности (BugBounty)

Местоположение и тип занятости

МоскваПолный рабочий день

Компания

Место встречи лучших

Описание вакансии

О компании и команде

Вместе мы создаём новые проекты в онлайне и не только. Каждый день развиваем технологии и сервисы, которыми гордимся. И не хотим останавливаться на достигнутом.

Мы — это VK Team, команда профессионалов, которые объединились ради больших свершений.

Каждый день мы сталкиваемся со сложными технологическими вызовами и преодолеваем их вместе с командой. Мы делаем так, чтобы пользователям было интересно и комфортно решать повседневные задачи при помощи наших онлайн-сервисов.

В VK возможно всё. А с VK Team легко воплощать мечты в реальность.

Команда BugBounty активно сотрудничает с хакерами со всего мира, которые сообщают об уязвимостях, проверяют и подтверждают найденные баги.
Мы активно работаем с сообществом багхантеров: организуем конференции, вечеринки и митапы.
Наша команда растет, и мы в поисках инженера по информационной безопасности, который будет участвовать в крупнейших проектах нашей компании.

Ожидания от кандидата

Задачи:

  • проверка и подтверждение найденных багов;
  • постановка задач разработчикам на фикс багов и контроль сроков выполнения этих задач;
  • формирование рекомендаций по улучшению уровня защищенности информационных систем и процессов ИБ;
  • коммуникация с сообществом исследователей ИБ и подразделениями, занимающимися фиксом уязвимостей;
  • трекинг уязвимостей в Jira.

Требования:

  • опыт анализа защищенности веб-приложений (Black Box, White Box, Grey Box);
  • понимание принципов работы систем аутентификации и авторизации (OAuth, SAML, 2FA);
  • знание Bash, Python или любого другого средства скриптовой автоматизации;
  • опыт работы с популярными Linux утилитами анализа трафика и web-сайтов (Burp Suite, Nmap, WireShark, curl-запросы);
  • знание Client-Side и Server-Side уязвимостей (в идеале — тебе знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, Clickjaking, CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF. Но если не знаешь — расскажем и научим);
  • умение объяснять коллегам опасность и способы фикса найденных багов.

Условия работы

Работа в VK— это:

  • возможность создавать продукты и сервисы, которые меняют к лучшему жизнь миллионов пользователей;
  • амбициозные задачи, масштабные проекты и возможности для профессионального роста;
  • совместные интересы и увлечения: помогаем раскрывать таланты и отлично проводить свободное время;
  • работа в команде профессионалов из разных сфер, которые всегда готовы поделиться опытом;
  • программа благополучия: заботимся о здоровье и хорошем самочувствии сотрудников;
  • компенсация питания в кафе и ресторанах рядом с офисами — 800 рублей в день;
  • компенсация спортивных активностей — 30 000 рублей в год в регионах и 35 000 рублей в год в Москве и в Санкт-Петербурге;
  • 16 корпоративных команд по 12 видам спорта.