Aston — аккредитованная аутсорсинговая IT-компания, работающая с 2007 года. Наш штат насчитывает 2500+ специалистов. Мы разрабатываем программное обеспечение и IT-решения в сферах Finance, Healthcare, eCommerce, IoT, Media, Big Data, ML и многом другом.
Предлагаем присоединиться в роли Специалист по информационной безопасности!
Заказчик - международный производитель высококачественной стальной продукции с вертикально-интегрированной моделью бизнеса.
Почему это будет интересно?
- возможность прокачать экспертизу в быстроразвивающейся и насыщенной области;
- возможность быть частью изменений, улучшений, запусков новых направлений.
Обязанности
- обеспечивать комплексную оценку уровня защищённости всех типов программного обеспечения и сервисов Компании путём выявления уязвимостей, ошибок конфигурации и архитектурных недостатков безопасности на всех этапах жизненного цикла ПО;
- выявлять клиентские уязвимости (XSS, CSRF, Clickjacking, DOM-based уязвимости, insecure direct object references и т. д.)(HTML, JavaScript, TypeScript, фреймворки React / Vue / Angular и др.);
- анализировать хранение чувствительных данных в браузере, работу с JWT / OAuth, CSP, CORS;
- тестировать серверные уязвимости (SQLi, SSRF, RCE, IDOR, Broken Access Control, Mass Assignment и т. д.);
- проводить полноценное тестирование авторизации, rate limiting, input validation, business logic flaws;
- тестировать веб-приложения на CMS Bitrix24;
- проводить поведенческий анализ приложений (реестр, файловая система, память);
- заниматься реверс-инжинирингом, искать уязвимости в бинарных файлах;
- выявлять небезопасную обработку данных;
- выявлять повышение привилегий;
- проводить статический и динамический анализ (APK reverse, Frida, MobSF, insecure storage, certificate pinning bypass, deep links, WebView и т. д.);
- анализировать firmware активного сетевого оборудования, IoT, BIOS / UEFI;
- искать backdoor'ы, hardcoded credentials, криптографические ошибки, устаревшие компоненты;
- проводить анализ сторонних библиотек (SCA — Software Composition Analysis), искать известные уязвимости (CVE), выявлять supply chain attacks;
- проводить аудит конфигурационных файлов веб-серверов (Nginx, Apache, IIS), СУБД (PostgreSQL, MySQL, Oracle, MSSQL), очередей, кэшей, Kubernetes и т. д;
- проверять на мисконфигурации, открытые порты, слабые разрешения, небезопасные секреты;
- проводить оценку безопасности SaaS-сервисов, внешних API, облачных окружений (Yandex, VK, Mail Cloud), интеграций с третьими сторонами.
Требования
- опыт работы в роли Специалист по информационной безопасности от 3-х лет;
- знание основных типов уязвимостей и методов их эксплуатации: классификация уязвимостей по NIST, БДУ;
- глубокое понимание OWASP Top 10 (Web, API, Mobile, LLM и др.);
- опыт скриптинга: Python / Bash;
- умение выстроить процесс тестирования по фазам (PTES);
- опыт процесса симуляции кибератаки веб-приложений и API (Burp Suite Professional, ZAP);
- опыт статического и динамического анализа Android-приложений (APKTool, Jadx, Android Studio);
- опыт и умение получать root/jailbreak на мобильных устройствах;
- опыт работы с системами анализа сетевого трафика (Wireshark, tcpdump);
- опыт работы с Metasploit Framework;
- опыт работы со сканерами уязвимостей (Acunetix, MaxPatrol, Security Vision, и тд);
- опыт проведения реверс-инжиниринга (IDA Pro / Ghidra / Binary Ninja);
- опыт в Binary exploitation: (buffer overflow, ROP, use-after-free, heap exploitation);
- опыт анализа драйверов (Windows Kernel debugging — WinDbg, Linux kernel);
- опыт анализа firmware (Binwalk, Firmadyne, Ghidra, анализ вложенных файловых систем);
- знания в криптографии (алгоритмы, common mistakes, side-channel attacks);
- опыт анализа сторонних библиотек (Dependency-Check, Snyk, Mend, Black Duck);
- понимание Threat Modeling (STRIDE, PASTA);
- владение английским языком на уровне Upper-Intermediate и выше.
Будет плюсом
- знание Kubernetes security, Docker security, cloud security (Yandex/VK/Mail);
- опыт эксплуатации и защиты Active Directory, Windows/Linux hardening;
- опыт скриптинга: PowerShell;
- опыт разработки эксплойтов;
- знание современных C2-фреймворков и Red-team техник;
- опыт участия в CTF / Red Team;
- опыт участия в программах поиска уязвимостей (bug bounty);
- наличие сертификатов: OSCP, OSWE / OSEP / OSED, eJPT / eWPT / CREST, CISSP / CISM.
Что мы предлагаем
- конкурентная зарплата, сумму обсуждаем отдельно с каждым кандидатом;
- проекты от топовых компаний;
- оформление по ТК;
- возможность выбирать формат работы: из дома, из офиса или гибридный;
- комфортные офисы в городах-центрах разработки;
- медицинская страховка (+стоматология);
- sick-days, оплачиваемый бенч, отпуск и больничные;
- частичная компенсация спортивных абонементов и компенсация расходов на оплату коворкинга;
- доплаты за менторство, ведение обучающих курсов, ревью проектов и участие в других профактивностях компании;
- прозрачная система Performance Review и ментор на все время работы;
- поэтапная система адаптации новых сотрудников;
- корпоративный портал с материалами для изучения любого нового стека и повышения уровня по своей специальности и не только;
- участие в технических митапах и конференциях в качестве гостя и спикера;
- корпоративы и тимбилдинги;
- детские праздники и мастер-классы с подарками и сладостями для семей сотрудников.