Одно из ключевых направлений работы SolidLab — проведение анализа защищённости онлайн-сервисов путём имитации действий реального злоумышленника. Мы выполняем проекты по анализу защищенности веб- и мобильных приложений для крупных ИТ-ориентированных компаний, помогая выявлять критические уязвимости, проверять устойчивость защитных механизмов и повышать уровень зрелости процессов разработки и информационной безопасности.
Мы расширяем нашу команду и ищем appsec-специалистов по направлению Web Application Security уровня Middle и выше. Если ты хочешь развиваться на нетривиальных проектах, у нас для этого есть все возможности и комфортные условия!
Задачи:
– Аудит веб-приложений преимущественно методом белого ящика.
– Подготовка отчётов по результатам проделанных работ.
– По желанию: тимлидинг проектов, т.е. наставничество и контроль качества технической составляющей работ.
– По желанию: участие в R&D-проектах, придумывание новых и улучшение имеющихся методов, подходов и инструментов для проектов (например, fine-tuning нашего SAST-комбайна под разные стеки технологий или доработка методики анализа спецификой конкретного фреймворка).
– По желанию: шаринг экспертизы коллегам из других технических направлений (SOC, VMS, DAST и др.) для прокачки их сервисов и продуктов.
Требования:
– Подтвержденный опыт анализа защищенности веб-приложений: от 2 лет в заказном аудите / от 4 лет в in-house.
– Уверенные знания архитектуры современных веб-приложений, понимание работы сети, client-side и server-side механизмов (например, CORS, флаги cookie, взаимодействие с СУБД, template rendering), современных протоколов (например, OAuth, GraphQL, gRPC).
– Навыки чтения исходного кода на Go, Java Spring, PHP, Python.
– Умение чётко и грамотно формулировать свои мысли в письменном виде.
– Английский язык – на уровне уверенного понимания профессиональной технической литературы без переводчика (в т.ч. AI).
Преимуществом будут:
– Опыт разработки веб-приложений, знание современных шаблонов проектирования.
– Опыт анализа приложений, развернутых в облаке, с учетом специфики окружения.
– Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE.
– Опыт участия в CTF, наличие самостоятельных исследований.
– Наличие профильных сертификатов (BSCP, OSWE).
– Опыт выступлений с техническими докладами на конференциях.
Как выглядит типовой проект?
Мы против подхода «запустить сканеры, разгрести false positive, успеть за неделю найти что-то руками и быстрее состряпать отчет», и так - на потоке, каждый раз одно и то же. Мы работаем с заказчиками, для которых принципиально важен максимально глубокий и качественный анализ. Выдавая в таких проектах результаты, за которые не стыдно, мы бонусом получаем непрерывное повышение собственной экспертизы.
– Нашими объектами анализа обычно являются современные крупные приложения или подмножество сервисов экосистемы облачных провайдеров. Дремучее legacy бывает, но значительно реже.
– Анализ проводится в ручном режиме, автоматические инструменты – только для ускорения работы, но не для замены аудитора. Сроки позволяют вникнуть в проект и провести анализ руками.
– На проекте четкое разделение ролей: коммуникацию с заказчиком поддерживают отдельные люди, на исполнителях только техническая составляющая - проверки и отчет. На каждом проекте есть тимлид/архитектор, координирующий действия, проверяющий качество проверок и исполняющий менторскую функцию для junior-аудиторов.
– По результатам работ составляется отчет. Мы уделяем большое внимание тому, чтобы описания не были бездумным копированием шаблона, а учитывали контекст: что именно может получить злоумышленник от уязвимости, какие есть киллчейны, как защититься на разных уровнях и предотвратить появление аналогичных багов в будущем.
– После проектов выделяется время на исследовательские и/или аналитические задачи, которые прямо или косвенно связаны со скоупом проекта, применяемыми методами и инструментами.
Наши преимущества:
– Отсутствие переработок, параллельных проектов и непрофильных задач.
– Прозрачная система планирования и грейдирования. Пожелания сотрудника учитываются при подборе задач.
– Пересмотр зарплат не реже раза в квартал – мы стремимся, чтобы рост сотрудников своевременно отражался на окладе.
– Команда профессионалов, которые готовы делиться экспертизой.
– Отсутствие DLP-систем и микроменеджмента.
– Возможность открытого диалога с руководством любого уровня. Возможность влиять на процессы в компании и подстраивать под себя проектные процессы, если это не вредит результату.