Application Security Engineer

Чем предстоит заниматься

• Определять потенциальные векторы атак на приложения.
• Декомпозировать продукт (приложение, автоматизированную систему, процесс) для формирования детального плана тестирования.
• Определять функции приложения, которые требуют обязательной проверки безопасности.
• Выявлять потенциальные уязвимости безопасности в web- и мобильных приложениях.
• Предоставлять рекомендации по устранению уязвимостей.
• Проводить оценку приложений на соответствие стандартам безопасности.
• Предоставлять разработчикам рекомендации по безопасному кодированию.
• Выполнять проверки программного кода, ориентированные на безопасность.
• Подготавливать отчеты по результатам выполненных работ.
• Обрабатывать отчёты программы Bug Bounty.

Мы ждём, что наш кандидат

• Умеет анализировать программный код с точки зрения безопасности.
• Обладает хорошими профессиональными коммуникативными навыками, письменными и устными.
• Умеет кратко и понятно описать выявленные уязвимости.
• Знает стандарты безопасности.
• Понимает архитектуру веб- и мобильных приложений.
• Владеет инструментами статического анализа, динамического анализа и инструментами тестирования на проникновение.
• Умеет писать четкие и краткие отчеты по безопасности и представлять результаты тестирования как техническим специалистам, так и не технической аудитории.
• Постоянно учится и умеет адаптироваться к меняющимся обстоятельствам.
• Имеет опыт составления и предоставления отчетов о проделанной работе.
• Умеет анализировать результаты статического анализа кода (SAST).
• Умеет разрабатывать детальный план тестирования.
• Очень хорошо понимает OWASP Top-10.
• Имеет опыт разработки и написания скриптов, например на Python, JavaScript.
• Знает и понимает основные принципы работы сетевых и web-протоколов (TCP/IP, UDP, HTTP, HTTPS и пр.).
• Разбирается в безопасности REST API, SOAP, GraphQL, JSON.
• Применяет гибкий и конструктивный подход при решении проблем.
• Понимает структуру MITRE ATT&CK.
• Способен обнаружить: SQLi, XSS, CSRF, SSRF, недостатки аутентификации и авторизации и другие web-уязвимости.
• Знает распространенные технологии аутентификации включая OAuth, SAML, CAs, OTP/TOTP.
• Знает MSTG, WSTG.
• Имеет опыт работы: 1–3 года.

Будет плюсом:

• Опыт участия в CTF.
• Опыт участия в программах Bug Bounty.
• Наличие сертификатов WAPT, OSWE, OSCP.

Что мы предлагаем

• Профессиональное обучение, семинары, тренинги, конференции.
• ДМС, сниженные ставки по кредитованию, программы лояльности для сотрудников.
• Самые инновационные, амбициозные проекты и задачи.