Инженер ИБ (Application Security), Москва
Информационная безопасность — это все, что касается безопасности наших пользователей, продуктов, сетей и серверов. А также это непрерывное взаимодействие с инженерами, которые разрабатывают и поддерживают наши проекты.
У нас работает самая крупная среди российских компаний Bug Bounty программа. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов в команде информационной безопасности.
Мы активно усиливаем нашу команду информационной безопасности, поэтому прямо сейчас ищем инженеров Application Security квалификации middle-senior.
Задачи
- обеспечение защиты разрабатываемых и используемых приложений компании;
- проведение аудитов безопасности сервисов;
- моделирование угроз и формирование требований безопасности веб-приложений;
- консультирование разработчиков и контроль устранения выявленных уязвимостей;
- выявление и реагирование на инциденты ИБ, проведение внутренних расследований.
Требования
- опыт анализа защищенности веб-приложений (Black Box, White Box, Grey Box);
- понимание принципов работы систем аутентификации и авторизации (OAuth, SAML, 2FA);
- знание Bash, Python или любого другого средства скриптовой автоматизации;
- опыт работы со сканерами уязвимостей (Burp Suite, Netsparker, Acunetix);
- знание Client-Side и Server-Side уязвимостей (в идеале - тебе знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, clickjacking , CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF. Но если не знаешь - расскажем и научим);
- умение читать код и выявлять ошибки.
Будет плюсом
- понимание языков программирования Python и Go;
- наличие репортов о найденных уязвимостях в программах Bug Bounty;
- наличие профильных сертификатов (OSCP, OSWE, CDP);
- понимание Application Security;
- понимание цикла CI/CD и DevOps;
- опыт выступления на профильных конференциях и написания профильных статей.
Мы предлагаем
Формат работы
Уровень
График работы

Информационная безопасность
Команда информационной безопасности осуществляет комплексную защиту инфраструктуры и сервисов экосистемы VK, обеспечивая круглосуточный мониторинг угроз, поиск и устранение уязвимостей, а также программу защиты пользователей и их данных VK Protect.
В блок «Информационная безопасность» входит 5 департаментов — защита инфраструктуры, защита клиентов, методология ИБ, управление проектами и защита приложений. Команда информационной безопасности постоянно развивает технологии по защите сервисов и пользователей VK, внедряя и совершенствуя новейшие практики.