Специалист по анализу защищенности мобильных приложений (PT SWARM)

PT SWARM — это команда из более чем 60 экспертов в offensive security, которые занимаются тестированием на проникновение (в том числе red teaming), анализом защищенности приложений (мобильных и веб-приложений, приложений финансовой отрасли), выполняют проекты по социальной инженерии, проводят аудит беспроводных сетей, банкоматов и POS-терминалов. В среднем ежегодно команда успешно выполняет более 100 проектов.

Наши эксперты выступают на топовых международных конференциях по кибербезопасности, таких как Black Hat Europe, Black Hat USA, CanSecWest, DEF CON, Hack in Paris, No Such Con, PacSec, Power of Community.

За последние три года эксперты PT SWARM выявили более 250 уязвимостей, 70% из которых высокого и критического уровня, в программных продуктах 60 различных производителей, среди которых Cisco, Citrix, Fortinet, IBM, Intel,Microsoft, Moxa, NCR, Palo Alto, Schneider Electric, Siemens, Verifone, VMware.

Команда PT SWARM ведет блог с исследованиями, а также Твиттер; ее участники попадали в топ хакерских техник PortSwigger и были отмечены в залах славы многих известных компаний: Adobe, Apple, AT&T, IBM, GitLab, Google, Mastercard, Microsoft, PayPal, Salesforce и десятках других.

Требования:

• Знание серверных и клиентских уязвимостей в мобильных приложениях и способы их эксплуатации;
• Умение искать и эксплуатировать эти уязвимости, знание особенностей и различных векторов эксплуатации;
• Умение искать уязвимости в статике (например, с помощью JADX, Hopper и др.) и в динамике (например, с помощью Frida);
• Умение искать уязвимости белым ящиком, читать код хотя бы на одном из языков: PHP, Java, Kotlin, C#, Python, Ruby, Node.js, Objective-C, Swift, Dart.

• Участие в CTF;
• Успешное участие в программах bug bounty с публично раскрытыми уязвимостями;
• Наличие собственных исследований и публичных выступлений;
• Собственноручно обнаруженные уязвимости, CVE;
• Умение разрабатывать собственные инструменты для анализа защищенности (например, с помощью Burp Suite API, скрипты для Frida);
• Наличие сертификатов (OSCP, OSWE, eWAPTX).;

Задачи:

• Вы будете анализировать защищенность мобильных приложений, то есть стараться обнаружить абсолютно все уязвимости, которые есть как в их серверной, так и в клиентской частях. От самых простых, таких, как небезопасное хранение файлов или открытое перенаправление, до самых опасных и сложных — различные инъекции, чтение файлов, локальное или удаленное выполнение кода. Вам предстоит участвовать в организации крупнейшего форума по кибербезопасности Positive Hack Days, а также заниматься исследованиями и публиковать их в блоге команды PT SWARM (twitter.com/ptswarm, swarm.ptsecurity.com).