Требования:
- знание причинно-следственной связи для появления уязвимостей в веб-приложениях;
- знание способов эксплуатации уязвимостей в веб-приложениях;
- знание механизмов защиты от уязвимостей в веб-приложениях;
- знание разных таксономий уязвимостей (CWE MITRE, WASC Threat Classification, OWASP Vulnerabilities, Seven Pernicious Kingdoms и т.п.);
- опыт исследования уязвимостей ПО (методом "белый ящик");
- опыт работы с утилитами статического анализа программного обеспечения;
- опыт программирования на языке C# (также подойдет опыт на другом языке, но важна готовность перейти на C#);
- опыт ранжирования потенциальных уязвимостей по классам и типам.
Будет плюсом:
- широкий кругозор в технологиях Application Security (SAST, DAST, IAST, WAF);
- опыт участия в соревнованиях CTF и программах Bug Bounty;
- знание нескольких языков программирования;
- наличие сертификатов по направлению Application Security;
- опыт промышленной разработки.
Задачи:
- исследовать библиотеки и фреймворки на различных языках программирования (C#, Java, PHP, JavaScript, Python, Go, Ruby и других) с целью обнаружения недостатков, приводящих к потенциальным уязвимостям;
- разрабатывать скрипты расширения на языке C# базы знаний продукта PT Application Inspector;
- систематизировать уязвимости по категориям и классам в единую классификацию;
- выполнять оперативное реагирование на 0-day уязвимости.