Ведущий специалист по анализу веб-приложений

Marfatech

Ведущий специалист по анализу веб-приложений

Описание вакансии

Привет! Мы международная IT компания Marfatech.

На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему!

Ищем в команду Ведущего специалиста по анализу веб-приложений

Обязанности:

  • Проведение ручного и автоматизированного анализа защищенности веб-приложений, API (REST, GraphQL), бэкендов сервисов.
  • Выполнение анализа архитектуры, моделей угроз и путей атак на современные веб-системы (SPA, облачные решения, микросервисная архитектура).
  • Актуализация и развитие методологии пентестов и отчетной документации.
  • Разработка и сопровождение тест-кейсов, чек-листов, скриптов (в т.ч. Burp Suite, Postman, custom tools).
  • Анализ и эксплуатация уязвимостей: XSS, SQLi, IDOR, SSRF, RCE, авторизационные и логические ошибки в веб-приложенияхи др.
  • Подготовка технических отчетов и рекомендаций по устранению уязвимостей, взаимодействие с разработчиками.
  • Участие в процессах Secure SDLC: threat modeling.
  • Исследование и отслеживание новых техник атак и уязвимостей (OWASP, CVE, Bug Bounty Reports).
  • Ведение базы знаний (Wiki, Confluence) и обмен опытом внутри команды.

Требования к кандидату:

  • Высшее техническое образование (информационная безопасность, прикладная математика, ИТ).
  • Опыт в области пентестов / анализа защищенности от 3 лет, с фокусом на веб-приложения и API.
  • Практический опыт работы с инструментами: Burp Suite, ZAP, Nmap,
  • Postman, mitmproxy, SQLMap, dirsearch и др.
  • Уверенные знания OWASP Top 10 (в т.ч. 2021/2023), CWE, ASVS.
  • Опыт составления threat models и эксплуатации логических уязвимостей.
  • Умение писать эксплойты / PoC на Python, Bash или другом удобном языке.

Будет плюсом:

  • Сертификация: AWS Security Specialty, CCSP, GCSA, OSCP,
    HashiCorp Terraform Associate

  • Опыт работы с Kubernetes security (EKS, Kube-Bench, Kyverno/OPA, Falco)

  • Практика внедрения политики Zero Trust, SASE, ZTA-frameworks

  • Опыт работы с GitLab/GitHub Actions и DevSecOps-конвейерами (SCAs,
    IaC-scanning, DAST/SAST)

  • Понимание протоколов HTTP(S), OAuth 2.0, JWT, CORS, WebSockets,
  • DNS, TLS.
  • Навыки работы с Git, CI/CD, Docker (в части тестовой среды).
  • Умение анализировать и комментировать исходный код (на уровне понимания логики) на Java, JS, Python, PHP и др.

Языки:

  • Русский — свободный.
  • Английский — технический уровень не ниже B2 (чтение документации, багрепортов, общение в трекерах/почте).

Преимуществом будет:

  • Участие в Bug Bounty программах.
  • Публикации/доклады/CTF-опыт.
  • Наличие сертификатов: OSWE / OSCP / GWAPT / eWPT / eWPTXv2.
  • Опыт работы в крупных компаниях или продуктах с высокой нагрузкой.

Личные качества:

  • Внимательность к деталям и логическое мышление.
  • Умение грамотно доносить результаты, аргументировать риски.
  • Командность, гибкость, самоорганизация.
  • Желание развиваться и делиться знаниями.

Мы предлагаем:

  • Официальное трудоустройство в соответствии с ТК РФ;

  • Достойный уровень заработной платы;

  • Формат работы: офис, в дальнейшем обсуждаем гибрид;

  • Сложные, интересные задачи;

  • Гарантируем полное отсутствие бюрократии;

  • Возможность карьерного роста и профессионального развития;

  • Открытая и свободная friendly среда - у нас ты сможешь сам задавать тренды, а не следовать им;

  • ДМС;

  • Частичная оплата занятий спортом;

  • 50% компенсация оплаты изучения английского языка;

  • 10 бесплатных сессий и 50% компенсация оплаты консультаций психолога;

  • График работы: пять дней в неделю (гибкое начало дня);

  • 5 сикдеев в год дополнительно.

Навыки
  • Информационная безопасность
  • Кибербезопасность
  • Построение систем защиты информации
Посмотреть контакты работодателя

Похожие вакансии

Wallet One
Полный день
  • Москва

  • от 200000 RUR

Рекомендуем
Swordfish Security
Удаленная работа
  • Москва

  • от 200000 RUR

Рекомендуем
Полный день
  • Москва

  • от 200000 RUR

Рекомендуем
Иви
Полный день
  • Москва

  • от 200000 RUR

Консист-ОС
Полный день
  • Москва

  • от 200000 RUR

Remokate
Полный день
  • Москва

  • от 200000 RUR

Security Vision
Полный день
  • Москва

  • от 200000 RUR

SberTech
Полный день
  • Москва

  • от 200000 RUR

DatsTeam
Удаленная работа
  • Москва

  • от 200000 RUR

АФЛТ-Системс
Полный день
  • Москва

  • от 200000 RUR

GLT (Green Light Technology)
Полный день
  • Москва

  • от 200000 RUR

IT SCOUT
Удаленная работа
  • Москва

  • от 200000 RUR

Страховая компания Сбербанк страхование

Ведущий AppSec специалист

Страховая компания Сбербанк страхование

Полный день
  • Москва

  • от 200000 RUR

Positive Technologies
Полный день
  • Москва

  • от 200000 RUR

Честный знак.рф
Полный день
  • Москва

  • от 200000 RUR

Удаленная работа
  • Москва

  • до 3500 USD

Хотите оставить вакансию?

Заполните форму и найдите сотрудника всего за несколько минут.
Оставить вакансию