Senior Penetration Tester (Application & API Security)

Agile Soft

  • Алматы
  • Постоянная работа
  • Полная занятость
  • 8 д. назад
Senior Penetration Tester (Application & API Security)Ищем технического оффенсив-специалиста уровня senior, сфокусированного на поиске и эксплуатации уязвимостей в веб-приложениях и API. Только глубокий технарский пентест, анализ кода и разработка эксплойтов. Основной стек — сложные веб-системы, распределённые микросервисы, API-шлюзы, облачные приложения.Обязанности:
  • Выполнение Black-Box, Grey-Box и White-Box тестирования веб-приложений и API.
  • Продвинутая эксплуатация уязвимостей через Burp Suite Professional (Intruder, Sequencer, кастомные пайплайны).
  • Поиск сложных логических ошибок: BOLA, BFLA, нарушения авторизации, ошибки state-менеджмента.
  • Эксплуатация SSRF, XXE, десериализации, инъекций нестандартных форматов, HTTP-обфускация, HPP.
  • Глубокий white-box аудит исходного кода на Java (Spring), C# (.NET Core), Python.
  • Поиск уязвимостей, не фиксируемых автоматикой: race conditions, бизнес-логика, кастомные протоколы.
  • Разработка собственных exploit-скриптов и payload-ов (Python).
  • Обход WAF и прочих защитных механизмов.
  • Базовый pentest мобильных приложений (iOS/Android), использование Frida/Objection.
  • Проверка облачных конфигураций в AWS/Azure на предмет эксплуатируемых ошибок IAM/RBAC и открытых ресурсов.
  • Оформление результатов по шаблонам OWASP ASVS и MITRE ATT&CK.
Требования:
  • Глубокая экспертиза в Burp Suite Professional, уверенная работа со всеми модулями.
  • Уверенные знания OWASP API Top 10, ASVS, актуальных векторных техник.
  • Опыт эксплуатации сложных уязвимостей, требующих подготовки собственного payload-а.
  • Опыт ручного анализа исходного кода (SAST) на Java, C# и Python — обязательный.
  • Умение воспроизводить и автоматизировать атаки через Python-скрипты.
  • Базовые навыки мобильного и облачного пентеста.
  • Понимание микросервисных архитектур, авторизации сервис-ту-сервис, API-gateway моделей.
Обязательные сертификаты, без подтверждения в сопроводительном письме рассматривать резюме не будем:
  • OSWA — must-have.
  • OSCP — обязательный минимальный уровень.
  • eWPTX — желателен, как подтверждение продвинутых навыков.
  • GIAC GWAPT или GXPN — как сильное преимущество.
Будет плюсом:
  • Опыт разработки на одном из указанных языков.
  • Участие в Bug Bounty с реальными подтверждёнными находками.
  • Опыт bypass современных WAF (Akamai, Cloudflare, Imperva).
Мы предлагаем:
  • Работа над высоконагруженными реальными продуктами, в составе европейской команды.
  • Минимум бюрократии, максимум технарской работы.
  • Доступ к закрытой инфраструктуре и сложным кейсам.
Формат работы:
  • Аутстаф (работа с европейским офисом)
  • Удаленный формат
  • Гибкий рабочий график
  • Все общение на англйиском
Компания занимается разработкой IT решений, аутсорсингом IT услуг, аутстаффингом IT персонала

HeadHunter