yandex
Страна
Россия
+500% приглашений

Откликайтесь
на вакансии с ИИ

Ускорим процесс поиска работы
УдалённоПолная занятость

Web security researcher (PT SWARM)

ИИОценка ИИ

Исключительная вакансия от лидера рынка кибербезопасности с возможностью работать в легендарной команде PT SWARM. Высокий балл за интересные задачи (ресерч коробочных продуктов) и удаленный формат работы.


Вакансия из Quick Offer Global, списка международных компаний
Пожаловаться

Сложность вакансии

ЛегкоСложно
ИИОценка ИИ

Высокая сложность обусловлена требованиями к глубокому анализу кода на нескольких языках (Java, C#, PHP), навыкам декомпиляции и создания 1-day PoC. Позиция в PT SWARM подразумевает экспертный уровень знаний в области серверных уязвимостей.

Анализ зарплаты

Медиана350 000 ₽
Рынок250 000 ₽ – 450 000 ₽
ИИОценка ИИ

Зарплата в объявлении не указана, но для позиций уровня Senior Web Security Researcher в России рыночный диапазон составляет от 250 000 до 450 000 рублей. Positive Technologies обычно предлагает конкурентоспособные условия, соответствующие верхним границам рынка для топовых специалистов.

Сопроводительное письмо

I am writing to express my strong interest in the Web Security Researcher position at Positive Technologies (PT SWARM). With a deep background in identifying critical server-side vulnerabilities and a passion for red teaming, I am eager to contribute to your team's mission of securing enterprise-grade IT products. My experience includes analyzing complex web applications, performing patch diffing to create 1-day PoCs, and working extensively with Java, C#, and PHP codebases.

I am particularly drawn to this role because of PT SWARM's reputation for high-end research and the opportunity to see research results applied in real-world penetration testing scenarios. I have a proven track record of finding high-impact vulnerabilities such as RCE, deserialization issues, and auth bypasses, while avoiding low-criticality client-side bugs. My technical toolkit includes proficiency in Python for automation and a solid grasp of decompilation techniques when source code is unavailable. I am confident that my research-oriented mindset and technical skills align perfectly with your team's requirements.

+250% к просмотрам

Составьте идеальное письмо к вакансии с ИИ-агентом

Составьте идеальное письмо к вакансии с ИИ-агентом

Откликнитесь в Positive Technologies уже сейчас

Присоединяйтесь к элитной команде PT SWARM и станьте экспертом в поиске критических уязвимостей!

Описание вакансии

Web security researcher (PT SWARM). 

Локация: Удаленная работа.

Зарплата: ₽. Обсуждается на собеседовании.

Компания: Positive Technologies.

Задачи:•  Искать и находить уязвимости в веб-приложениях. Подавляющее число веб-приложений под анализ — коробочные ИТ-продукты, установленные у наших заказчиков, многие из них вам точно знакомы по повседневной жизни. Результаты исследований нужны для нашей команды по проведению тестов на проникновение, в составе которой вы и будете работать.

•  Наша команда фокусируется на проведении редтим и пентестовых работ, где в первую очередь нужны уязвимости, которые можно использовать для пробива — command injection, file upload, deserialization of untrusted data, etc или как один из шагов для достижения пробива в цепочке уязвимостей — SSRF, auth bypass, sensitive data exposure, etc. Некритичные уязвимости, client-side уязвимости, такие как XSS, clickjacking, missing headers нас как правило не интересуют.

•  Мы ждем от кандидата концентрации на поиске уязвимостей в продуктах, которые будут определены командой как перспективные для ресерча, вместе с тем, работая с нами, есть возможность принимать участие в выполнении проектов с другими пентестерами, чтобы вживую увидеть применение результатов исследований на инфраструктуре заказчиков.

Требования:•  Навык поиска critical server-side уязвимости в веб-приложениях. Мы ждем, что вы сталкивались и работали со всеми или почти со всеми типами уязвимостяй;

•  Знание Java, C# и PHP как минимум на уровне чтения кода, типовые уязвимости для приложений, разработанных на данных языках;

•  Углубленное понимание отдельных типов уязвимостей или миссконфигураций ПО или же технологии в целом;

•  Опыт в воспроизведении CVE по адвайзори, небольшому количеству информации об уязвимости или же диффу патча (т.е. создание 1day PoC);

•  Опыт декомпилирования приложения, если нет исходного кода, нет страха перед обфускаторами, протекторами и знает что с ними делать;

•  Знание скриптовых языков для автоматизации рутины (python, powershell, etc), способность написать PoC для найденной уязвимости;

•  Как минимум начальные знания \*nix ОС: знание базовых команд и способность работать в терминале, понимание структуры файловой системы.

Откликнуться

#Удаленка #Web

+400% к собеседованиям

Создайте идеальное резюме с помощью ИИ-агента

Создайте идеальное резюме с помощью ИИ-агента

Навыки

  • Web Security
  • Penetration Testing
  • Java
  • C++
  • PHP
  • Python
  • PowerShell
  • Reverse Engineering
  • Linux
  • Red Teaming
  • Vulnerability Research

Возможные вопросы на собеседовании

Проверка практического опыта в анализе патчей и понимания векторов атак.

Расскажите о вашем самом интересном опыте создания 1-day PoC на основе диффа патча или адвайзори. С какими трудностями вы столкнулись?

Оценка навыков работы с закрытым кодом, что критично для 'коробочных' продуктов.

Какие инструменты и подходы вы используете для анализа и декомпиляции приложений, если исходный код защищен обфускатором?

Вакансия сфокусирована на критических серверных багах.

Почему, на ваш взгляд, десериализация необработанных данных в Java или C# сейчас является более приоритетной целью для ресерчера, чем классические SQL-инъекции?

Проверка умения автоматизировать поиск уязвимостей.

Опишите процесс написания скрипта на Python для автоматизации поиска специфической мисконфигурации в крупной сетевой инфраструктуре.

Оценка понимания цепочек атак (exploit chains).

Приведите пример, как вы использовали SSRF для достижения RCE или обхода аутентификации в сложном веб-приложении.

Похожие вакансии

H
HuntTech
217 000 ₽ – 268 000 ₽

ИБ-специалист (Senior)

SeniorУдалённо
SoC · EDR · HIPS · Firewalls · Network Segmentation · Vulnerability Management · GLPI · 2FA · Encryption · MDM · Positive Technologies Vulnerability Management · Efros DefOps
+12 навыков
E
EVOSTAFF
190 000 ₽

Аналитик по информационной безопасности (не appsec)

MiddleУдалённо
Kubernetes · Unix · Keycloak · Linux · Windows · Information Security · PCI DSS · Network Security · Microservices
+9 навыков
T
TopSelection
350 000 ₽ – 400 000 ₽

AppSec Engineer (Middle+/Senior)

SeniorУдалённо
Application Security · Penetration Testing · Code Review · Burp Suite · DAST · SAST · SCA · Threat Modeling · OWASP Top 10 · SDLC
+10 навыков
O
Okko
Не указана

Ведущий специалист по информационной безопасности

LeadУдалённо
ISO 27001 · NIST · GDPR · PCI DSS · SIEM · EDR · DLP · WAF · IDS/IPS · IAM · VPN · Risk Management · Cybersecurity · IT Audit
+14 навыков
Т
Тензор
154 000 ₽ – 216 000 ₽

Инженер по информационной безопасности

Удалённо
Python · Node.js · C++ · SAST · Application Security · OWASP Top 10 · CWE Top 25 · OWASP ASVS · Web Application Security
+9 навыков
Г
ГНИВЦ
400 000 ₽ – 450 000 ₽

Архитектор ИБ

Удалённо
IAM · IDM · OAuth2 · OpenID Connect · SAML · JWT · JWS · JWE · MFA · WebAuthn · FIDO2 · AppSec · OWASP Top 10 · OWASP ASVS · Zero Trust · Cryptography · Microservices · API Security
+18 навыков
более 1000 офферов получено
4.9

1000+ офферов получено

Устали искать работу? Мы найдём её за вас

Quick Offer улучшит ваше резюме, подберёт лучшие вакансии и откликнется за вас. Результат — в 3 раза больше приглашений на собеседования и никакой рутины!

Россия