Специалист по информационной безопасности

Привет! Мы — SHEVEREV, аккредитованная IT-компания, занимающаяся разработкой веб-сервисов и мобильных приложений различной сложности.

Мы создаем цифровые продукты, которые меняют мир. От платформ для онлайн-обучения до удобных сервисов для путешествий. Мы работаем с лидерами российского и зарубежного рынков, решая самые сложные задачи с помощью передовых технологий.

Сейчас нам требуется специалист по безопасности на проектной основе для пентеста наших приложений. Занятость на 10-30 часов

Требования:

• Опыт коммерческого пентеста веб-приложений от 2 лет;
• Глубокое понимание OWASP Top 10;
• Умение "дожать" уязвимость: не просто найти, а понять сценарий эксплуатации и риски для бизнеса;
• Навык составления отчетов: умеете писать понятно для разработчиков (как повторить, как исправить) и для менеджмента (критичность, риски).

Будет плюсом:

• Опыт Code Review (понимание ЯП, чтобы подсветить проблему в коде);
• Опыт аудита проектов на CMS (Bitrix).

Что нужно будет сделать (Объем работ)

• Провести рекогносцировку (разведку) предоставленных ресурсов;
• Выполнить ручной поиск уязвимостей (фокус на бизнес-логику и контроль доступа);
• Проверить устойчивость к автоматизированным атакам (при необходимости);
• Подготовить итоговый отчет, который включает:

1. Детальное описание уязвимостей (с шагами воспроизведения — PoC, скриншотами/видео);

2. Рекомендации по исправлению (для разработчиков).