Привет! Мы международная IT компания Marfatech.
На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему!
Ищем в команду Ведущего специалиста по анализу веб-приложений
Обязанности:
- Проведение ручного и автоматизированного анализа защищенности веб-приложений, API (REST, GraphQL), бэкендов сервисов.
- Выполнение анализа архитектуры, моделей угроз и путей атак на современные веб-системы (SPA, облачные решения, микросервисная архитектура).
- Актуализация и развитие методологии пентестов и отчетной документации.
- Разработка и сопровождение тест-кейсов, чек-листов, скриптов (в т.ч. Burp Suite, Postman, custom tools).
- Анализ и эксплуатация уязвимостей: XSS, SQLi, IDOR, SSRF, RCE, авторизационные и логические ошибки в веб-приложенияхи др.
- Подготовка технических отчетов и рекомендаций по устранению уязвимостей, взаимодействие с разработчиками.
- Участие в процессах Secure SDLC: threat modeling.
- Исследование и отслеживание новых техник атак и уязвимостей (OWASP, CVE, Bug Bounty Reports).
- Ведение базы знаний (Wiki, Confluence) и обмен опытом внутри команды.
Требования к кандидату:
- Высшее техническое образование (информационная безопасность, прикладная математика, ИТ).
- Опыт в области пентестов / анализа защищенности от 3 лет, с фокусом на веб-приложения и API.
- Практический опыт работы с инструментами: Burp Suite, ZAP, Nmap,
- Postman, mitmproxy, SQLMap, dirsearch и др.
- Уверенные знания OWASP Top 10 (в т.ч. 2021/2023), CWE, ASVS.
- Опыт составления threat models и эксплуатации логических уязвимостей.
- Умение писать эксплойты / PoC на Python, Bash или другом удобном языке.
Будет плюсом:
-
Сертификация: AWS Security Specialty, CCSP, GCSA, OSCP,
HashiCorp Terraform Associate
-
Опыт работы с Kubernetes security (EKS, Kube-Bench, Kyverno/OPA, Falco)
-
Практика внедрения политики Zero Trust, SASE, ZTA-frameworks
-
Опыт работы с GitLab/GitHub Actions и DevSecOps-конвейерами (SCAs,
IaC-scanning, DAST/SAST)
- Понимание протоколов HTTP(S), OAuth 2.0, JWT, CORS, WebSockets,
- DNS, TLS.
- Навыки работы с Git, CI/CD, Docker (в части тестовой среды).
- Умение анализировать и комментировать исходный код (на уровне понимания логики) на Java, JS, Python, PHP и др.
Языки:
- Русский — свободный.
- Английский — технический уровень не ниже B2 (чтение документации, багрепортов, общение в трекерах/почте).
Преимуществом будет:
- Участие в Bug Bounty программах.
- Публикации/доклады/CTF-опыт.
- Наличие сертификатов: OSWE / OSCP / GWAPT / eWPT / eWPTXv2.
- Опыт работы в крупных компаниях или продуктах с высокой нагрузкой.
Личные качества:
- Внимательность к деталям и логическое мышление.
- Умение грамотно доносить результаты, аргументировать риски.
- Командность, гибкость, самоорганизация.
- Желание развиваться и делиться знаниями.
Мы предлагаем:
-
Официальное трудоустройство в соответствии с ТК РФ;
-
Достойный уровень заработной платы;
-
Формат работы: офис, в дальнейшем обсуждаем гибрид;
-
Сложные, интересные задачи;
-
Гарантируем полное отсутствие бюрократии;
-
Возможность карьерного роста и профессионального развития;
-
Открытая и свободная friendly среда - у нас ты сможешь сам задавать тренды, а не следовать им;
-
ДМС;
-
Частичная оплата занятий спортом;
-
50% компенсация оплаты изучения английского языка;
-
10 бесплатных сессий и 50% компенсация оплаты консультаций психолога;
-
График работы: пять дней в неделю (гибкое начало дня);
-
5 сикдеев в год дополнительно.