Positive Technologies
Удаленная работа

Web security researcher (PT SWARM)

PT SWARM — это команда из более чем 100 экспертов в offensive security, которые занимаются тестированием на проникновение (в том числе red teaming), анализом защищенности ПО (мобильных и веб-приложений, софта для финансовой отрасли), выполняют проекты по социальной инженерии, проводят аудит беспроводных сетей, банкоматов и POS-терминалов. В среднем ежегодно команда успешно выполняет более 200 проектов.

Наши эксперты выступают на топовых международных конференциях по кибербезопасности, таких как Black Hat Europe, Black Hat USA, CanSecWest, DEF CON, Hack in Paris, No Such Con, PacSec, Power of Community.

За последние три года эксперты PT SWARM выявили более 250 уязвимостей, 70% из которых высокого и критического уровня, в программных продуктах 60 различных производителей, среди которых Cisco, Citrix, Fortinet, IBM, Intel,Microsoft, Moxa, NCR, Palo Alto, Schneider Electric, Siemens, Verifone, VMware.

Команда PT SWARM ведет блог с исследованиями, а также Твиттер; ее участники попадали в топ хакерских техник PortSwigger и были отмечены в залах славы многих известных компаний: Adobe, Apple, AT&T, IBM, GitLab, Google, Mastercard, Microsoft, PayPal, Salesforce и десятках других.

Мы ищем единомышленника — специалиста по поиску уязвимостей веб-приложений.

Требования:

  • Навык поиска critical server-side уязвимости в веб-приложениях. Мы ждем, что вы сталкивались и работали со всеми или почти со всеми типами уязвимостяй;
  • Знание Java, C# и PHP как минимум на уровне чтения кода, типовые уязвимости для приложений, разработанных на данных языках;
  • Углубленное понимание отдельных типов уязвимостей или миссконфигураций ПО или же технологии в целом;
  • Опыт в воспроизведении CVE по адвайзори, небольшому количеству информации об уязвимости или же диффу патча (т.е. создание 1day PoC);
  • Опыт декомпилирования приложения, если нет исходного кода, нет страха перед обфускаторами, протекторами и знает что с ними делать;
  • Знание скриптовых языков для автоматизации рутины (python, powershell, etc), способность написать PoC для найденной уязвимости;
  • Как минимум начальные знания *nix ОС: знание базовых команд и способность работать в терминале, понимание структуры файловой системы.

Задачи:

  • Искать и находить уязвимости в веб-приложениях. Подавляющее число веб-приложений под анализ — коробочные ИТ-продукты, установленные у наших заказчиков, многие из них вам точно знакомы по повседневной жизни. Результаты исследований нужны для нашей команды по проведению тестов на проникновение, в составе которой вы и будете работать.
  • Наша команда фокусируется на проведении редтим и пентестовых работ, где в первую очередь нужны уязвимости, которые можно использовать для пробива — command injection, file upload, deserialization of untrusted data, etc или как один из шагов для достижения пробива в цепочке уязвимостей — SSRF, auth bypass, sensitive data exposure, etc. Некритичные уязвимости, client-side уязвимости, такие как XSS, clickjacking, missing headers нас как правило не интересуют.
  • Мы ждем от кандидата концентрации на поиске уязвимостей в продуктах, которые будут определены командой как перспективные для ресерча, вместе с тем, работая с нами, есть возможность принимать участие в выполнении проектов с другими пентестерами, чтобы вживую увидеть применение результатов исследований на инфраструктуре заказчиков.

Мы предлагаем

  • Ежегодный отпуск

    28 календарных дней и 10 дополнительных оплачиваемых выходных

  • Карьерный рост

    Обучение и рост вместе с лучшими экспертами

  • Окружение

    Сильную команду профессионалов, с которыми ты будешь решать сложные интересные задачи и определять будущее кибербезопасности в мире

  • Коммьюнити

    Возможность стать частью комьюнити и проводить время с коллегами вне работы. У нас есть спортивные сборные и клубы по интересам

  • Комфорт

    Гибридный график и гибкое начало рабочего дня

  • Доверие

    Работу в аккредитованной ИТ-компании и возможность использования льгот Министерства цифрового развития

  • Забота о здоровье

    Заботу о здоровье: ДМС (стоматология, вызов врача на дом и экстренная госпитализация — с первого месяца работы), частичная компенсация занятий спортом и английским

Инструменты и стек

  • Python

  • С#

  • Linux

Откликнуться на вакансию

Расскажите нам о себе и наш менеджер непременно свяжется с вами.

Почта
+7 (555) 555-55-55

Выберите Резюме
в формате DOCX, PDF не более 10 Мб