Senior Penetration Tester (Application & API Security)

Senior Penetration Tester (Application & API Security)

Ищем технического оффенсив-специалиста уровня senior, сфокусированного на поиске и эксплуатации уязвимостей в веб-приложениях и API. Только глубокий технарский пентест, анализ кода и разработка эксплойтов. Основной стек — сложные веб-системы, распределённые микросервисы, API-шлюзы, облачные приложения.

Обязанности:
• Выполнение Black-Box, Grey-Box и White-Box тестирования веб-приложений и API.
• Продвинутая эксплуатация уязвимостей через Burp Suite Professional (Intruder, Sequencer, кастомные пайплайны).
• Поиск сложных логических ошибок: BOLA, BFLA, нарушения авторизации, ошибки state-менеджмента.
• Эксплуатация SSRF, XXE, десериализации, инъекций нестандартных форматов, HTTP-обфускация, HPP.
• Глубокий white-box аудит исходного кода на Java (Spring), C# (.NET Core), Python.
• Поиск уязвимостей, не фиксируемых автоматикой: race conditions, бизнес-логика, кастомные протоколы.
• Разработка собственных exploit-скриптов и payload-ов (Python).
• Обход WAF и прочих защитных механизмов.
• Базовый pentest мобильных приложений (iOS/Android), использование Frida/Objection.
• Проверка облачных конфигураций в AWS/Azure на предмет эксплуатируемых ошибок IAM/RBAC и открытых ресурсов.
• Оформление результатов по шаблонам OWASP ASVS и MITRE ATT&CK.

Требования:
• Глубокая экспертиза в Burp Suite Professional, уверенная работа со всеми модулями.
• Уверенные знания OWASP API Top 10, ASVS, актуальных векторных техник.
• Опыт эксплуатации сложных уязвимостей, требующих подготовки собственного payload-а.
• Опыт ручного анализа исходного кода (SAST) на Java, C# и Python — обязательный.
• Умение воспроизводить и автоматизировать атаки через Python-скрипты.
• Базовые навыки мобильного и облачного пентеста.
• Понимание микросервисных архитектур, авторизации сервис-ту-сервис, API-gateway моделей.

Обязательные сертификаты, без подтверждения в сопроводительном письме рассматривать резюме не будем:
• OSWA — must-have.
• OSCP — обязательный минимальный уровень.
• eWPTX — желателен, как подтверждение продвинутых навыков.
• GIAC GWAPT или GXPN — как сильное преимущество.

Будет плюсом:
• Опыт разработки на одном из указанных языков.
• Участие в Bug Bounty с реальными подтверждёнными находками.
• Опыт bypass современных WAF (Akamai, Cloudflare, Imperva).

Мы предлагаем:
• Работа над высоконагруженными реальными продуктами, в составе европейской команды.
• Минимум бюрократии, максимум технарской работы.
• Доступ к закрытой инфраструктуре и сложным кейсам.

Формат работы:
• Аутстаф (работа с европейским офисом)
• Удаленный формат
• Гибкий рабочий график
• Все общение на англйиском