Senior DevSecOps / Специалист по анализу защищенности

Описание вакансии

ID 2989

#DevSecOps

Senior

Число позиций 1

№Гражданство РФ

Формат работы Удалённо

Загрузка специалиста Full-time

Срок привлечения специалиста 3+ мес

Что предоставлять вместе с резюме

*❗️*ФИО, локация, дата рождения

#Основные требования

Базовый уровень:

 Знание основных типов уязвимостей и методов их эксплуатации.

o Классификация уязвимостей по NIST, БДУ

 Глубокое понимание OWASP Top 10 (Web, API, Mobile, LLM и др.).

 Умение выстроить процесс тестирования по фазам (PTES)

 Опыт penetration testing веб-приложений и API (Burp Suite Professional, ZAP).

 Опыт статического и динамического анализа Android-приложений (APKTool, Jadx, Android Studio).

o Опыт и умение получения root/jailbreak на мобильных устройствах.

 Опыт работы с системами анализа сетевого трафика (Wireshark, tcpdump).

 Опыт работы с Metasploit Framework.

 Опыт работы со сканерами уязвимостей (Acunetix, MaxPatrol, Security Vision, и тд)

Продвинутый уровень:

 Реверс-инжиниринг (IDA Pro / Ghidra / Binary Ninja).

 Binary exploitation: (buffer overflow, ROP, use-after-free, heap exploitation).

 Опыт анализа драйверов (Windows Kernel debugging — WinDbg, Linux kernel).

 Опыт анализа firmware (Binwalk, Firmadyne, Ghidra, анализ вложенных файловых систем).

 Знания в криптографии (алгоритмы, common mistakes, side-channel attacks).

 Анализ сторонних библиотек (Dependency-Check, Snyk, Mend, Black Duck).

 Понимание Threat Modeling (STRIDE, PASTA).

#Обязанности специалиста

 Анализ веб-приложений

o Фронтенд (HTML, JavaScript, TypeScript, фреймворки React/Vue/Angular и др.):

 Выявление клиентских уязвимостей (XSS, CSRF, Clickjacking, DOM-based уязвимости, insecure direct object references и т.д.).

 Анализ хранения чувствительных данных в браузере, работы с JWT/OAuth, CSP, CORS.

o Бэкенд (Java, Spring, Python/Django/Flask/FastAPI, .NET, NodeJS и др.):

 Тестирование серверных уязвимостей (SQLi, SSRF, RCE, IDOR, Broken Access Control, Mass Assignment и т.д.).

o API (REST, GraphQL, gRPC, OpenAPI):

 Полноценное тестирование авторизации, rate limiting, input validation, business logic flaws.

o Тестирование веб-приложений на CMS Bitrix24.

 Анализ прикладного ПО

o Десктопные приложения (Windows, Linux, macOS):

 Поведенческий анализ приложение (реестр, файловая система, память).

 Реверс-инжиниринг, поиск уязвимостей в бинарных файлах.

 Небезопасная обработка данных.

 Повышение привилегий.

o Мобильные приложения (Android — Java/Kotlin):

 Статический и динамический анализ (APK reverse, Frida, MobSF, insecure storage, certificate pinning bypass, deep links, WebView и т.д.).

o Драйверы (kernel mode drivers для видеокарт, сетевых адаптеров, серверного оборудования):

o Прошивки (Firmware):

 Анализ firmware активного сетевого оборудования, IoT, BIOS/UEFI.

 Поиск backdoor’ов, hardcoded credentials, криптографических ошибок, устаревших компонентов.

 Библиотеки и зависимости:

o Анализ сторонних библиотек (SCA — Software Composition Analysis), поиск известных уязвимостей (CVE), supply chain attacks.

 Анализ конфигурации сервисов

o Аудит конфигурационных файлов веб-серверов (Nginx, Apache, IIS), СУБД (PostgreSQL, MySQL, Oracle, MSSQL), очередей, кэшей, Kubernetes и т.д.

o Проверка на мисконфигурации, открытые порты, слабые разрешения, небезопасные секреты.

 Анализ внешних вспомогательных сервисов

o Оценка безопасности SaaS-сервисов, внешних API, облачных окружений (Yandex, VK, Mail Cloud), интеграций с третьими сторонами.

 Дополнительные обязанности

o Проведение Black Box, Grey Box и White Box тестирования.

o Автоматизация процессов сканирования и анализа (скрипты автоматизации, CI/CD).

o Подготовка детальных отчётов с описанием уязвимостей, векторами атак, оценкой рисков (CVSS) и рекомендациями по устранению.

o Участие в threat modeling новых решений.

o Проведение Code Review с точки зрения безопасности.

 Консультирование команд разработки по вопросам безопасной разработки (Secure SDLC).

o Проведение архитектурного Security Review на стадии проектирования ПО.