Специалист по тестированию на проникновение

Проведение внутренних и внешних пентестов приложений, API, инфраструктуры, сетей и облачных сред;

Проведение анализа исходного кода (white-box / SAST) на предмет уязвимостей, логических ошибок и небезопасных конструкций;

Использование и настройка инструментов сканирования уязвимостей (Qualys, Nessus, OpenVAS);

Взаимодействие с разработчиками, DevOps, Blue Team для устранения выявленных проблем;

Участие в построении процесса безопасной разработки ПО (SecSDLC);

Мониторинг актуальных угроз информационной безопасности;

Разработка отчетных материалов о проведенных работах.

Опыт работы более 3-х лет;

Отличное знание Linux и Windows ОС в контексте эксплуатации, привилегий;

Уверенные знания сетевых протоколов (TCP/IP, HTTP/S, DNS, LDAP, SMB и др.).

Базовые знания облачных платформ (AWS / Azure / GCP /) и их уязвимостей.

Опыт работы с системами сканирования уязвимостей и анализа кода

Опыт в практическом применении руководств OWASP, MITRE ATT@CK, D3FEND

Опыт тестирования сетевой безопасности;

Навыки работы с инструментами: Burp Suite, ZAP, Nmap, Metasploit, Nessus/OpenVAS, Hydra, sqlmap, Impacket, BloodHound, CrackMapExec.

Знание хотя бы одного скриптового языка (bash, python, либо аналогичного);

Понимание принципов безопасной разработки;

Опыт проведения расследований инцидентов в рамках своей компетенции;

Опыт пентестов Web / API / мобильных приложений (OWASP Top-10, API Top-10, Mobile Top-10);

Понимание CI/CD и DevSecOps-практик, интеграции проверок в pipeline;