Backend Developer
генерация резюме под вакансию
сопроводительное письмо
описание
Aston — аккредитованная аутсорсинговая IT-компания, разрабатывающая программное обеспечение и IT-решения в сферах финансов, здравоохранения, электронной коммерции, интернета вещей, медиа, больших данных и машинного обучения. Заказчик является международным производителем стальной продукции с вертикально-интегрированной моделью бизнеса.
задачи
- Обеспечивать комплексную оценку защищённости программного обеспечения и сервисов путём выявления уязвимостей, ошибок конфигурации и архитектурных недостатков на всех этапах жизненного цикла ПО;
- Выявлять клиентские уязвимости (XSS, CSRF, Clickjacking, DOM-based уязвимости, insecure direct object references);
- Анализировать хранение чувствительных данных в браузере, работу с JWT, OAuth, CSP, CORS;
- Тестировать серверные уязвимости (SQLi, SSRF, RCE, IDOR, Broken Access Control, Mass Assignment);
- Проводить тестирование авторизации, rate limiting, input validation, business logic flaws;
- Тестировать веб-приложения на CMS Bitrix24;
- Проводить поведенческий анализ приложений;
- Заниматься реверс-инжинирингом и поиском уязвимостей в бинарных файлах;
- Выявлять небезопасную обработку данных и повышение привилегий;
- Проводить статический и динамический анализ мобильных приложений;
- Анализировать firmware активного сетевого оборудования, интернета вещей, BIOS и UEFI;
- Искать бэкдоры, захардкоженные учетные данные, криптографические ошибки и устаревшие компоненты;
- Проводить анализ сторонних библиотек и поиск известных уязвимостей;
- Проводить аудит конфигурационных файлов веб-серверов, СУБД, очередей, кэшей и Kubernetes;
- Проверять системы на мисконфигурации, открытые порты, слабые разрешения и небезопасные секреты;
- Проводить оценку безопасности SaaS-сервисов, внешних API и облачных окружений.
требования
- Опыт работы в роли специалиста по информационной безопасности от 3-х лет;
- Знание основных типов уязвимостей и методов их эксплуатации (классификация NIST, БДУ);
- Глубокое понимание OWASP Top 10 (Web, API, Mobile, LLM);
- Опыт скриптинга на Python или Bash;
- Умение выстроить процесс тестирования по фазам (PTES);
- Опыт симуляции кибератак веб-приложений и API (Burp Suite Professional, ZAP);
- Опыт статического и динамического анализа Android-приложений (APKTool, Jadx, Android Studio);
- Опыт получения root/jailbreak на мобильных устройствах;
- Опыт работы с системами анализа сетевого трафика (Wireshark, tcpdump);
- Опыт работы с Metasploit Framework;
- Опыт работы со сканерами уязвимостей (Acunetix, MaxPatrol, Security Vision);
- Опыт проведения реверс-инжиниринга (IDA Pro, Ghidra, Binary Ninja);
- Опыт в Binary exploitation (buffer overflow, ROP, use-after-free, heap exploitation);
- Опыт анализа драйверов (Windows Kernel debugging, Linux kernel);
- Опыт анализа firmware (Binwalk, Firmadyne, Ghidra);
- Знания в криптографии (алгоритмы, типичные ошибки, side-channel attacks);
- Опыт анализа сторонних библиотек (Dependency-Check, Snyk, Mend, Black Duck);
- Понимание Threat Modeling (STRIDE, PASTA);
- Английский язык на уровне Upper-Intermediate и выше.
условия
- Оформление по ТК РФ;
- ДМС со стоматологией;
- Частичная компенсация затрат на спорт;
- Оплачиваемые sick-days;
- Оплачиваемый бенч;
- Компенсация расходов на оплату коворкинга;
- Прозрачная система Performance Review;
- Доплаты за менторство, ведение обучающих курсов и ревью проектов;
- Корпоративный портал с материалами для обучения;
- Регулярные технические митапы и конференции;
- Корпоративы, тимбилдинги, детские праздники и подарки.
навыки
Если просят войти через iCloud, отправить коды из SMS, запустить код, что-то установить, перевести деньги или сделать что угодно, связанное с деньгами, не соглашайтесь: это признаки мошенничества.