Требования / Soft skills:

  • Опыт работы от 6 лет в сфере практической информационной безопасности.
  • Умение объяснять сложные технические вещи разработчикам и руководителям.
  • Внимание к деталям, системное мышление, persistence.
  • Опыт подготовки информативных отчётов для технической и executive-аудитории.
  • Английский — Upper-Intermediate и выше (чтение документации, CVE, отчётов).

Задачи:

  • Анализ веб-приложений — фронтенд (HTML, JavaScript, TypeScript, React/Vue/Angular и др.): выявление клиентских уязвимостей (XSS, CSRF, Clickjacking, DOM-based уязвимости, insecure direct object references и др.), анализ хранения чувствительных данных в браузере, работы с JWT/OAuth, CSP, CORS.
  • Бэкенд — тестирование серверных уязвимостей (Java, Spring, Python/Django/Flask/FastAPI, .NET, NodeJS): SQLi, SSRF, RCE, IDOR, Broken Access Control, Mass Assignment и др.
  • API (REST, GraphQL, gRPC, OpenAPI): тестирование авторизации, rate limiting, input validation, business logic flaws.
  • Тестирование веб-приложений на CMS Bitrix24.
  • Анализ прикладного ПО — десктопные приложения (Windows, Linux, macOS): поведенческий анализ, реестр, файловая система, память; реверс-инжиниринг и поиск уязвимостей в бинарных файлах; повышение привилегий.
  • Мобильные приложения (Android — Java/Kotlin): статический и динамический анализ (APK reverse, Frida, MobSF, insecure storage, certificate pinning bypass, deep links, WebView и др.).
  • Драйверы (kernel mode drivers) и анализ прошивок (firmware, IoT, BIOS/UEFI): поиск backdoor’ов, hardcoded credentials, криптографических ошибок, устаревших компонентов.
  • Анализ библиотек и зависимостей (SCA), поиск известных уязвимостей (CVE), supply chain attacks.
  • Аудит конфигураций сервисов — веб‑серверы (Nginx, Apache, IIS), СУБД (PostgreSQL, MySQL, Oracle, MSSQL), очереди, кэши, Kubernetes: проверка на мисконфигурации, открытые порты, слабые разрешения, небезопасные секреты.
  • Анализ внешних сервисов — оценка безопасности SaaS, внешних API, облачных окружений (Yandex, VK, Mail Cloud), интеграций с третьими сторонами.

Желательные сертификаты:

  • OSCP
  • OSWE / OSEP / OSED
  • eJPT / eWPT / CREST
  • CISSP / CISM

Откликайтесь только при релевантном опыте.

При первичном отклике просьба подготовить: ID вакансии / ФИО / локация / возраст / занятость (работаете/нет) / формат работы (удаленка, гибрид, офис) / стек / опыт / резюме / сверка с требованиями.