AppSec-инженер

Что предстоит делать

Навыки: Тестирование на проникновение, Информационная безопасность. Специализации: AppSec-инженер. Мы в SolidLab занимаемся защитой приложений, тестами на проникновение и предлагаем весь спектр услуг в области application security*. Мы делаем умный SolidWall WAF и cканер SolidPoint DAST, внедряем процессы по управлению уязвимостями и реагированию на инциденты. **Задачи:** - Аудит приложений методом белого и черного ящика, в основном: веб- и мобильные приложения; - Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений; - Подготовка отчётов по результатам проделанных работ; - Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации; - По желанию: участие в исследовательских (R&D) проектах в области безопасности приложений. **Требования:** - Системные знания современных веб-технологий — серверных и клиентских; - Системные знания в области Application Securitу; - Подтвержденный опыт системного анализа приложений как белым, так и черным ящиком; - Навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках; - Умение чётко и грамотно формулировать свои мысли в письменном виде; - Навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси; - Английский язык – на уровне понимания профессиональной технической литературы. **Преимуществом будут:** - Опыт разработки веб-приложений, знание современных шаблонов проектирования; - Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров); - Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE; - Опыт участия в CTF, наличие самостоятельных исследований; - Наличие профильных сертификатов (BSCP, OSWE).