Информационная безопасность — это все, что касается безопасности наших пользователей, продуктов, сетей и серверов. А также это непрерывное взаимодействие с инженерами, которые разрабатывают и поддерживают наши проекты.

У нас работает самая крупная среди российских компаний Bug Bounty программа. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов в команде информационной безопасности.

Мы активно усиливаем нашу команду информационной безопасности, поэтому прямо сейчас ищем инженеров Application Security квалификации middle-senior.

Задачи

• обеспечение защиты разрабатываемых и используемых приложений компании;
• проведение аудитов безопасности сервисов;
• моделирование угроз и формирование требований безопасности веб-приложений;
• консультирование разработчиков и контроль устранения выявленных уязвимостей;
• выявление и реагирование на инциденты ИБ, проведение внутренних расследований.

Требования

• опыт анализа защищенности веб-приложений (Black Box, White Box, Grey Box);
• понимание принципов работы систем аутентификации и авторизации (OAuth, SAML, 2FA);
• знание Bash, Python или любого другого средства скриптовой автоматизации;
• опыт работы со сканерами уязвимостей (Burp Suite, Netsparker, Acunetix);
• знание Client-Side и Server-Side уязвимостей (в идеале - тебе знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, clickjacking , CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF. Но если не знаешь - расскажем и научим);
• умение читать код и выявлять ошибки.

Будет плюсом

• понимание языков программирования Python и Go;
• наличие репортов о найденных уязвимостях в программах Bug Bounty;
• наличие профильных сертификатов (OSCP, OSWE, CDP);
• понимание Application Security;
• понимание цикла CI/CD и DevOps;
• опыт выступления на профильных конференциях и написания профильных статей.