H
HireSeeker
Н

Senior DevSecOps

Неизвестный работодатель · 8 часов назад

Зарплата не указанаremote

ID 2989
#DevSecOps

Senior

Число позиций 1
№Гражданство РФ
Формат работы Удалённо
Загрузка специалиста Full-time
Срок привлечения специалиста 3+ мес

Что предоставлять вместе с резюме
❗️ФИО, локация, дата рождения

#Основные требования
Базовый уровень:
 Знание основных типов уязвимостей и методов их эксплуатации.
o Классификация уязвимостей по NIST, БДУ
 Глубокое понимание OWASP Top 10 (Web, API, Mobile, LLM и др.).
 Умение выстроить процесс тестирования по фазам (PTES)
 Опыт penetration testing веб-приложений и API (Burp Suite Professional, ZAP).
 Опыт статического и динамического анализа Android-приложений (APKTool, Jadx, Android Studio).
o Опыт и умение получения root/jailbreak на мобильных устройствах.
 Опыт работы с системами анализа сетевого трафика (Wireshark, tcpdump).
 Опыт работы с Metasploit Framework.
 Опыт работы со сканерами уязвимостей (Acunetix, MaxPatrol, Security Vision, и тд)

Продвинутый уровень:
 Реверс-инжиниринг (IDA Pro / Ghidra / Binary Ninja).
 Binary exploitation: (buffer overflow, ROP, use-after-free, heap exploitation).
 Опыт анализа драйверов (Windows Kernel debugging — WinDbg, Linux kernel).
 Опыт анализа firmware (Binwalk, Firmadyne, Ghidra, анализ вложенных файловых систем).
 Знания в криптографии (алгоритмы, common mistakes, side-channel attacks).
 Анализ сторонних библиотек (Dependency-Check, Snyk, Mend, Black Duck).
 Понимание Threat Modeling (STRIDE, PASTA).

#Обязанности специалиста
 Анализ веб-приложений
o Фронтенд (HTML, JavaScript, TypeScript, фреймворки React/Vue/Angular и др.):
 Выявление клиентских уязвимостей (XSS, CSRF, Clickjacking, DOM-based уязвимости, insecure direct object references и т.д.).
 Анализ хранения чувствительных данных в браузере, работы с JWT/OAuth, CSP, CORS.
o Бэкенд (Java, Spring, Python/Django/Flask/FastAPI, .NET, NodeJS и др.):
 Тестирование серверных уязвимостей (SQLi, SSRF, RCE, IDOR, Broken Access Control, Mass Assignment и т.д.).
o API (REST, GraphQL, gRPC, OpenAPI):
 Полноценное тестирование авторизации, rate limiting, input validation, business logic flaws.
o Тестирование веб-приложений на CMS Bitrix24.
 Анализ прикладного ПО
o Десктопные приложения (Windows, Linux, macOS):
 Поведенческий анализ приложение (реестр, файловая система, память).
 Реверс-инжиниринг, поиск уязвимостей в бинарных файлах.
 Небезопасная обработка данных.
 Повышение привилегий.
o Мобильные приложения (Android — Java/Kotlin):
 Статический и динамический анализ (APK reverse, Frida, MobSF, insecure storage, certificate pinning bypass, deep links, WebView и т.д.).
o Драйверы (kernel mode drivers для видеокарт, сетевых адаптеров, серверного оборудования):
o Прошивки (Firmware):
 Анализ firmware активного сетевого оборудования, IoT, BIOS/UEFI.
 Поиск backdoor’ов, hardcoded credentials, криптографических ошибок, устаревших компонентов.
 Библиотеки и зависимости:
o Анализ сторонних библиотек (SCA — Software Composition Analysis), поиск известных уязвимостей (CVE), supply chain attacks.
 Анализ конфигурации сервисов
o Аудит конфигурационных файлов веб-серверов (Nginx, Apache, IIS), СУБД (PostgreSQL, MySQL, Oracle, MSSQL), очередей, кэшей, Kubernetes и т.д.
o Проверка на мисконфигурации, открытые порты, слабые разрешения, небезопасные секреты.
 Анализ внешних вспомогательных сервисов
o Оценка безопасности SaaS-сервисов, внешних API, облачных окружений (Yandex, VK, Mail Cloud), интеграций с третьими сторонами.

 Дополнительные обязанности
o Проведение Black Box, Grey Box и White Box тестирования.
o Автоматизация процессов сканирования и анализа (скрипты автоматизации, CI/CD).
o Подготовка детальных отчётов с описанием уязвимостей, векторами атак, оценкой рисков (CVSS) и рекомендациями по устранению.
o Участие в threat modeling новых решений.
o Проведение Code Review с точки зрения безопасности.
 Консультирование команд разработки по вопросам безопасной разработки (Secure SDLC).
o Проведение архитектурного Security Review на стадии проектирования ПО.