Penetration Tester (Ташкент)

04 Июля

Партнерские Вакансии

Город:

Москва

Занятость:

Полная занятость

Компания "Octobank"

Мы ищем опытного Penetration Tester для проведения наступательного тестирования безопасности наших финтех-сервисов и бизнес-приложений. В этой роли вы будете отвечать за выявление уязвимостей в инфраструктуре, веб и мобильных приложениях, а также в бизнес-логике платежных и финансовых процессов до того, как их найдут злоумышленники. Помимо технической работы, вы будете развивать зрелые процессы offensive-тестирования внутри компании. Ваша работа критически важна для защиты данных и средств клиентов, а также для обеспечения надежности и соответствия наших сервисов требованиям регуляторов. Мы ищем не «сканер уязвимостей», а вовлеченного специалиста, который проактивно ищет слабые места, доводит находки до устранения и помогает выстраивать культуру безопасности в командах.

Основные задачи:

  • Проведение внешнего и внутреннего тестирования на проникновение инфраструктуры (сетевой периметр, Active Directory, сегментация, повышение привилегий, латеральное перемещение).
  • Тестирование на проникновение веб-приложений и API финтех-сервисов (аутентификация, авторизация, бизнес-логика, обработка платежей и финансовых операций).
  • Тестирование на проникновение мобильных приложений (Android и iOS): анализ клиента, хранение данных, защита каналов связи, обход root/jailbreak детекта, перехват и модификация трафика.
  • Анализ безопасности бизнес-логики финансовых процессов: платежи, переводы, выставление счетов, лимиты, антифрод-механизмы, интеграции с внешними платежными провайдерами.
  • Подготовка качественной технической документации: отчеты по результатам тестирований с воспроизведением, оценкой рисков (CVSS) и практическими рекомендациями по устранению.
  • Ведение и развитие организационной документации: методологии тестирования, чек-листы, регламенты проведения работ.
  • Построение и улучшение процессов offensive security: планирование тестирований, приоритизация, трекинг устранения уязвимостей и проведение retest.
  • Взаимодействие с командами разработки, DevOps и инфраструктуры для корректного воспроизведения, валидации и устранения найденных уязвимостей.
  • Участие в моделировании угроз и оценке атакующих сценариев для новых функций сервисов и платформ.
  • Проактивное предложение улучшений в области безопасности и участие в развитии внутренней expertise команды.

Ожидания от кандидата:

  • Опыт работы в области тестирования на проникновение не менее 4-5 лет.
  • Практический опыт проведения пентестов инфраструктуры: сетевая разведка, эксплуатация сервисов, атаки на Active Directory (Kerberoasting, AS-REP, делегирование, NTLM relay), сетевые атаки(MITM, poisoning, replay), повышение привилегий и латеральное перемещение.
  • Уверенный опыт пентеста веб приложений и API: OWASP Top 10, OWASP API Security Top 10, эксплуатация XSS, SSRF, IDOR, injection уязвимостей, ошибок аутентификации и авторизации, уязвимостей бизнес-логики.
  • Опыт тестирования мобильных приложений по методологии OWASP MASVS / MASTG (анализ Android и iOS, инструментирование, обход защитных механизмов).
  • Понимание угроз, специфичных для финтех- и платежных сервисов (мошенничество, манипуляции с транзакциями, обход лимитов и антифрода).
  • Владение основным инструментарием: Nmap, Burp Suite, ffuf, Nuclei, Metasploit, Impacket, BloodHound, Responder, mitmproxy, Frida, Objection, MobSF.
  • Знание методологий и фреймворков: PTES, OWASP WSTG/MASTG, MITRE ATT&CK, понимание этапов kill chain.
  • Навыки скриптинга для автоматизации задач и написания PoC (Python, Bash, PowerShell).
  • Способность читать и анализировать код для поиска уязвимостей на различных языках программирования.
  • Понимание основ криптографии, механизмов авторизации и аутентификации (TLS/SSL, PKI, OAuth2, JWT, SAML 2.0, OpenID Connect).
  • Опыт работы с контейнерами (docker, podman) и понимание основ их безопасности.
  • Умение четко и структурированно излагать технические находки в письменном виде.
  • Умение работать в команде, вовлеченность в результат и инициативность — готовность не ограничиваться формальным скоупом, а доводить находки до реального устранения.
  • Владение техническим английским языком.

Что будет плюсом:

  • Опыт работы в финтех-компаниях, банках или платежных сервисах.
  • Понимание регуляторных требований и стандартов финансовой отрасли (PCI DSS, ISO 27001, требования локальных регуляторов).
  • Опыт проведения Red Team операций и работы с C2-фреймворками (Cobalt Strike, Sliver, Mythic, Havoc).
  • Опыт пентеста облачных сред (AWS, GCP, Azure) и Kubernetes.
  • Опыт обхода EDR/AV и техник evasion.
  • Опыт reverse engineering и анализа бинарных файлов.
  • Опыт участия в Bug Bounty программах (как со стороны исследователя, так и со стороны организатора).
  • Опыт проведения внутренних тренингов и обучения команд по offensive security.
  • Наличие профильных сертификатов: OSCP, OSEP, OSWE, OSWA, OSED, eMAPT, eCPPT, CRTO, GPEN/GXPN, BSCP.
  • Опыт построения процессов тестирования на проникновение.
Похожие вакансии

14 Июня

Senior Cisco Network Engineer (в Ташкент)

Москва

Компания "AVO SERVICES AND TECHNOLOGY" Команда AVO SERVICES AND TECHNOLOGY создает новый технологичный розничный банк на рынке Узбекистана ....

Отправить резюме подробнее

22 Июня

Главный технолог кондитерского производства (г. Ташкент)

Москва

Компания "Lightman Solutions" Наш партнер, кондитерская фабрика, находится в поисках Главного технолога кондитерского производства. Позиция...

Отправить резюме подробнее

22 Июня

Технолог кондитерского производства (г. Ташкент)

Москва

Компания "Lightman Solutions" Наш партнер, кондитерская фабрика, находится в поисках Технолога кондитерского производства. Позиция...

Отправить резюме подробнее

23 Июня

Middle+ DevOps Engineer (г. Ташкент, fintech)

Москва

Компания "Саидов Алишер Ринатович" Вакансия предполагает релокацию в г. Ташкент и офисный формат работы. В крупнейший финтех-проект в...

Отправить резюме подробнее

17 Июня

Data Scientist - Credit Risks (релокация в Ташкент)

Москва

Компания "AVO SERVICES AND TECHNOLOGY" Data Scientist - Credit Risks (релокация в Ташкент) Команда AVO SERVICES AND TECHNOLOGY создает...

Отправить резюме подробнее

Вакансия размещена в отрасли

Информационные технологии / IT / Интернет: