КОГО МЫ ИЩЕМ?
Senior Penetration tester в продукт CICADA8
ОПИСАНИЕ ПРОДУКТА
Команда выполняет работы в области наступательной кибербезопасности. Выполняем проекты различного уровня сложности и специфики от класических тестов на проникновение до RedTeam,PurpleTeam.
ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ
– Проведение проектов по анализу защищённости и тестам на проникновение (внешние/внутренние, веб/мобильные приложения, Wi-Fi, социальная инженерия);
– Участие в Red Team-оценках и моделировании атак;
– Поиск 0-day уязвимостей, разработка PoC и 1-day эксплойтов
– Исследование инфраструктуры: доменные среды, сетевые сегменты, приложения, облачные сервисы;
– Анализ исходного кода, поиск и верификация уязвимостей ;
– Разрабатывать и адаптировать инструменты для автоматизации поиска и эксплуатации уязвимостей;
– Подготовка отчётов с воспроизведением и рекомендациями по устранению;
– Участие в обучении, развитие внутренних методик и базы знаний команды.
ЧТО НУЖНО ДЛЯ ЭТОЙ РАБОТЫ
– Опыт проведения атак на внешний периметра и эксплуатации уязвимостей на уровне инфраструктуры и приложений;
– Глубокое понимание веб-технологий: HTTP/HTTPS, REST/GraphQL, WebSockets, CORS, механизмы сессий, авторизация (JWT, OAuth2, SSO);
– Опыт поиска и эксплуатации server-side уязвимостей: RCE, SQLi, SSRF, XXE, LFI/RFI, Path Traversal, Race Conditions, Insecure Deserialization, Business Logic Bugs;
– Уверенное чтение и анализ исходного кода на C/C++, Java, Python, PHP, JavaScript, Go;
– Понимание принципов работы инфраструктуры:
– Active Directory — структура, механизмы аутентификации, Kerberos, LDAP, привилегии и пути эскалации;
– Windows и Linux — внутренняя архитектура, типовые механизмы безопасности, служебные компоненты, средства администрирования;
– Сетевые технологии — протоколы TCP/IP, DNS, SMB, RPC, HTTP(S), VPN, VLAN, маршрутизация и фильтрация трафика;
– Навыки разработки PoC/эксплойтов и инструментов (Python, Go, PowerShell, Bash);
– Понимание техник обхода защиты и скрытия активности при выполнении атак;
– Владение инструментами: Burp Suite Pro, Nmap, sqlmap, wfuzz, Metasploit, BloodHound, NetExec, Wireshark, IDA/Ghidra и др.;
– Знание MITRE ATT&CK и методов построения TTP-сценариев;
– Приветствуется: OSCP, CRTO, OSEP, eCPPT, публикации CVE/БДУ, bug bounty-репорты, собственные разработки и исследования.
ЧТО ПРЕДЛАГАЕМ
– Гибридный или удаленный формат работы
– ДМС с первого месяца работы — 100% покрытие всех медицинских расходов, включая стоматологию
– Выгодные скидки и специальные предложения от партнеров на фитнес, курсы английского и другие полезные активности
– Возможность регулярно повышать свой скилл: участие во внешних мероприятиях, митапах, обучениях, возможность ежегодной сдачи сертификаци
– Работа в команде опытных специалистов уровня Senior, победителей CTF соревнований
– Открытая и дружелюбная корпоративная культура, где каждый чувствует себя частью единой команды, общается на равных и всегда на «ты». Мы ценим вклад каждого, поддерживаем инициативность и создаём комфортные условия для профессионального и личностного роста.