Ведущий специалист по анализу веб-приложений

Привет! Мы международная IT компания Marfatech.

На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему!

Ищем в команду Ведущего специалиста по анализу веб-приложений

Обязанности:

• Проведение ручного и автоматизированного анализа защищенности веб-приложений, API (REST, GraphQL), бэкендов сервисов.
• Выполнение анализа архитектуры, моделей угроз и путей атак на современные веб-системы (SPA, облачные решения, микросервисная архитектура).
• Актуализация и развитие методологии пентестов и отчетной документации.
• Разработка и сопровождение тест-кейсов, чек-листов, скриптов (в т.ч. Burp Suite, Postman, custom tools).
• Анализ и эксплуатация уязвимостей: XSS, SQLi, IDOR, SSRF, RCE, авторизационные и логические ошибки в веб-приложенияхи др.
• Подготовка технических отчетов и рекомендаций по устранению уязвимостей, взаимодействие с разработчиками.
• Участие в процессах Secure SDLC: threat modeling.
• Исследование и отслеживание новых техник атак и уязвимостей (OWASP, CVE, Bug Bounty Reports).
• Ведение базы знаний (Wiki, Confluence) и обмен опытом внутри команды.

Требования к кандидату:

• Высшее техническое образование (информационная безопасность, прикладная математика, ИТ).
• Опыт в области пентестов / анализа защищенности от 3 лет, с фокусом на веб-приложения и API.
• Практический опыт работы с инструментами: Burp Suite, ZAP, Nmap,
• Postman, mitmproxy, SQLMap, dirsearch и др.
• Уверенные знания OWASP Top 10 (в т.ч. 2021/2023), CWE, ASVS.
• Опыт составления threat models и эксплуатации логических уязвимостей.
• Умение писать эксплойты / PoC на Python, Bash или другом удобном языке.

Будет плюсом:

• Сертификация: AWS Security Specialty, CCSP, GCSA, OSCP,
  HashiCorp Terraform Associate

• Опыт работы с Kubernetes security (EKS, Kube-Bench, Kyverno/OPA, Falco)

• Практика внедрения политики Zero Trust, SASE, ZTA-frameworks

• Опыт работы с GitLab/GitHub Actions и DevSecOps-конвейерами (SCAs,
  IaC-scanning, DAST/SAST)

• Понимание протоколов HTTP(S), OAuth 2.0, JWT, CORS, WebSockets,
• DNS, TLS.
• Навыки работы с Git, CI/CD, Docker (в части тестовой среды).
• Умение анализировать и комментировать исходный код (на уровне понимания логики) на Java, JS, Python, PHP и др.

Языки:

• Русский — свободный.
• Английский — технический уровень не ниже B2 (чтение документации, багрепортов, общение в трекерах/почте).

Преимуществом будет:

• Участие в Bug Bounty программах.
• Публикации/доклады/CTF-опыт.
• Наличие сертификатов: OSWE / OSCP / GWAPT / eWPT / eWPTXv2.
• Опыт работы в крупных компаниях или продуктах с высокой нагрузкой.

Личные качества:

• Внимательность к деталям и логическое мышление.
• Умение грамотно доносить результаты, аргументировать риски.
• Командность, гибкость, самоорганизация.
• Желание развиваться и делиться знаниями.

Мы предлагаем:

• Официальное трудоустройство в соответствии с ТК РФ;

• Достойный уровень заработной платы;

• Формат работы: офис, в дальнейшем обсуждаем гибрид;

• Сложные, интересные задачи;

• Гарантируем полное отсутствие бюрократии;

• Возможность карьерного роста и профессионального развития;

• Открытая и свободная friendly среда - у нас ты сможешь сам задавать тренды, а не следовать им;

• ДМС;

• Частичная оплата занятий спортом;

• 50% компенсация оплаты изучения английского языка;

• 10 бесплатных сессий и 50% компенсация оплаты консультаций психолога;

• График работы: пять дней в неделю (гибкое начало дня);

• 5 сикдеев в год дополнительно.