About the project

  • Наша команда выполняет работы в области наступательной кибербезопасности. Мы реализуем проекты различного уровня сложности и специфики: от классических тестов на проникновение до Red Team и Purple Team оценок.
  • Ищем талантливого Senior Penetration Testing Specialist, который хочет развиваться в области offensive security и работать с интересными задачами.

Responsibilities

  • Проводить проекты по анализу защищённости и тестам на проникновение (внешние/внутренние, веб/мобильные приложения, Wi-Fi, социальная инженерия);
  • Участвовать в Red Team-оценках и моделировании атак;
  • Искать 0-day уязвимости, разрабатывать PoC и 1-day эксплойты;
  • Исследовать инфраструктуру: доменные среды, сетевые сегменты, приложения, облачные сервисы;
  • Проводить анализ исходного кода, искать и верифицировать уязвимости;
  • Разрабатывать и адаптировать инструменты для автоматизации поиска и эксплуатации уязвимостей;
  • Готовить отчёты с воспроизведением уязвимостей и рекомендациями по устранению;
  • Участвовать в обучении, развивать внутренние методики и базу знаний команды.

Requirements

  • Опыт проведения атак на внешний периметр и эксплуатации уязвимостей на уровне инфраструктуры и приложений;
  • Глубокое понимание веб-технологий: HTTP/HTTPS, REST/GraphQL, WebSockets, CORS, механизмы сессий, авторизация (JWT, OAuth2, SSO);
  • Опыт поиска и эксплуатации server-side уязвимостей: RCE, SQLi, SSRF, XXE, LFI/RFI, Path Traversal, Race Conditions, Insecure Deserialization, Business Logic Bugs;
  • Уверенное чтение и анализ исходного кода на C/C++, Java, Python, PHP, JavaScript, Go;
  • Понимание принципов работы инфраструктуры: Active Directory — структура, механизмы аутентификации, Kerberos, LDAP, привилегии и пути эскалации, Windows и Linux — внутренняя архитектура, типовые механизмы безопасности, служебные компоненты;
  • Сетевые технологии — протоколы TCP/IP, DNS, SMB, RPC, HTTP(S), VPN, VLAN, маршрутизация и фильтрация трафика;
  • Навыки разработки PoC/эксплойтов и инструментов (Python, Go, PowerShell, Bash);
  • Понимание техник обхода защиты и скрытия активности при выполнении атак;
  • Владение инструментами: Burp Suite Pro, Nmap, sqlmap, wfuzz, Metasploit, BloodHound, NetExec, Wireshark, IDA/Ghidra и др.;
  • Знание MITRE ATT&CK и методов построения TTP-сценариев;
  • Будет преимуществом:
  • наличие сертификатов OSCP, CRTO, OSEP, eCPPT, публикации CVE/БДУ, bug bounty-репорты, собственные разработки и исследования.рты, собственные разработки и исследования."

Conditions

  • ДМС с первого месяца работы — 100% покрытие всех медицинских расходов, включая стоматологию;
  • Выгодные скидки и специальные предложения от партнеров на фитнес, курсы английского и другие полезные активности;
  • Возможность участвовать во внешних конференциях и повышать квалификацию за счёт компании через внешнее обучение;
  • Работа в команде профессионалов, готовых делиться знаниями;
  • Открытая и дружелюбная корпоративная культура, где каждый чувствует себя частью единой команды, общается на равных и всегда на «ты». Мы ценим вклад каждого, поддерживаем инициативность и создаём комфортные условия для профессионального и личностного роста.