AppSec Engineer

• Проведение регулярных тестов на проникновение;
• Оценка уязвимостей в веб-приложениях, мобильных приложениях и инфраструктуре;
• Проведение комплексных тестов безопасности с использованием различных техник (manual testing, automated tools, etc.);
• Разработка и выполнение сценариев атак на основе актуальных угроз и векторов.
• Анализ безопасности приложений;
• Оценка архитектуры приложений на предмет безопасности;
• Применение стандартов и лучших практик безопасности (OWASP Top 10, SANS, etc.);
• Осуществление ревью исходного кода, тестирование API и других компонент системы.
• Разработка и внедрение мер по улучшению безопасности;
• Разработка рекомендаций по устранению уязвимостей;
• Взаимодействие с командами разработки для внедрения безопасных решений;
• Постоянное улучшение процесса разработки с учётом современных угроз.
• Проведение обучения и консультаций для сотрудников;
• Проведение тренингов по безопасности для разработчиков и других команд;
• Консультирование по вопросам безопасного программирования.

Что мы ждём:

• Глубокие знания уязвимостей приложений (OWASP Top 10, XSS, SQL Injection, CSRF и т.д.);
• Опыт работы с инструментами пентеста (например, Burp Suite, Metasploit и другими);
• Знания в области криптографии, защиты данных и безопасных протоколов;
• Знание принципов Secure Software Development Lifecycle (SDLC);
• Опыт работы с API и серверной частью приложений (REST, SOAP, kafka/rabbitmq, Web Services);
• Опыт работы с операционными системами, сетями и облачными технологиями;
• Приветствуется опыт в bugbounty (bi zone, standoff 365 Bug Bounty).