- PT SWARM — это команда из более чем 60 экспертов в offensive security, которые занимаются тестированием на проникновение (в том числе red teaming), анализом защищенности приложений (мобильных и веб-приложений, приложений финансовой отрасли), выполняют проекты по социальной инженерии, проводят аудит беспроводных сетей, банкоматов и POS-терминалов. В среднем ежегодно команда успешно выполняет более 100 проектов.
- Наши эксперты выступают на топовых международных конференциях по кибербезопасности, таких как Black Hat Europe, Black Hat USA, CanSecWest, DEF CON, Hack in Paris, No Such Con, PacSec, Power of Community.
- За последние три года эксперты PT SWARM выявили более 250 уязвимостей, 70% из которых высокого и критического уровня, в программных продуктах 60 различных производителей, среди которых Cisco, Citrix, Fortinet, IBM, Intel,Microsoft, Moxa, NCR, Palo Alto, Schneider Electric, Siemens, Verifone, VMware.
- Команда PT SWARM ведет блог с исследованиями, а также Твиттер; ее участники попадали в топ хакерских техник PortSwigger и были отмечены в залах славы многих известных компаний: Adobe, Apple, AT&T, IBM, GitLab, Google, Mastercard, Microsoft, PayPal, Salesforce и десятках других.
Требования:
- Знание серверных и клиентских уязвимостей в мобильных приложениях и способы их эксплуатации;
- Умение искать и эксплуатировать эти уязвимости, знание особенностей и различных векторов эксплуатации;
- Умение искать уязвимости в статике (например, с помощью JADX, Hopper и др.) и в динамике (например, с помощью Frida);
- Умение искать уязвимости белым ящиком, читать код хотя бы на одном из языков: PHP, Java, Kotlin, C#, Python, Ruby, Node.js, Objective-C, Swift, Dart.
- Участие в CTF;
- Успешное участие в программах bug bounty с публично раскрытыми уязвимостями;
- Наличие собственных исследований и публичных выступлений;
- Собственноручно обнаруженные уязвимости, CVE;
- Умение разрабатывать собственные инструменты для анализа защищенности (например, с помощью Burp Suite API, скрипты для Frida);
- Наличие сертификатов (OSCP, OSWE, eWAPTX).;
Задачи:
- Вы будете анализировать защищенность мобильных приложений, то есть стараться обнаружить абсолютно все уязвимости, которые есть как в их серверной, так и в клиентской частях. От самых простых, таких, как небезопасное хранение файлов или открытое перенаправление, до самых опасных и сложных — различные инъекции, чтение файлов, локальное или удаленное выполнение кода. Вам предстоит участвовать в организации крупнейшего форума по кибербезопасности Positive Hack Days, а также заниматься исследованиями и публиковать их в блоге команды PT SWARM (twitter.com/ptswarm, swarm.ptsecurity.com).