Пентестер\Pentester в Offensive команду
Требования
Местоположение и тип занятости
Компания
Облачный сканер уязвимостей с экспертным сопровождением
Описание вакансии
О компании и команде
Мы — команда «Метаскан», разработчики облачного сканера уязвимостей, объединяющего 29 лучших инструментов в одном ядре (amass, ZAP, Nuclei, dirsearch, NSE, hydra, patator и др.).
Наша миссия — выявлять уязвимости на внешнем периметре крупнейших компаний России:
Сбербанк, ВТБ, Альфабанк, Ростелеком, Wildberries, DNS, МКБ — наши клиенты доверяют нам свою безопасность.
Кроме эксплуатации собственного продукта, мы вносим вклад в развитие open-source: ZAP, dirsearch, cameradar, Katana, Nuclei и других.
Что предстоит делать:
- Проводить проекты по тестированию на проникновение внешнего периметра: от разведки до пост-эксплуатации;
- Выполнять разведку (TLD, поддомены, автономные системы, инфраструктура);
- Анализировать и эксплуатировать системные сервисы (NSE-скрипты, PoC, эксплойты);
- Работать с сетевым и IoT-оборудованием, вендорскими решениями;
- Проводить подбор паролей и эксплуатацию уязвимостей;
- Инициировать атаки на веб-приложения (в том числе OWASP TOP 10);
- Составлять отчёты и участвовать во встречах с клиентами.
Ожидания от кандидата
- Опыт поиска уязвимостей в качестве пентестера, багхантера или участника Red Team;
- Уверенное знание Linux (на уровне администратора);
- Понимание сетевых технологий: модель OSI, маршрутизация, протоколы (DNS, HTTP и др.);
- Навыки работы с пентест-инструментами: Burp/ZAP, ffuf/dirsearch/feroxbuster, Nuclei, Amass/Subfinder, Nmap и др.;
- Опыт написания собственных PoC/эксплойтов (Python, Bash и др.);
- Глубокое понимание OWASP TOP 10;
- Английский — на уровне чтения технической документации (B1).
Будет плюсом:
- Опыт работы с результатами или проведением пентестов;
- Практика внедрения NGFW, WAF, IPS и др. систем защиты;
- Знакомство с коммерческими сканерами: Qualys, Nessus, Rapid7, Acunetix и др.;
- Навыки программирования (Python, JavaScript, C++, Go);
- Опыт работы админом Linux/сетевого оборудования;
- Публичные материалы, написанные инструменты, обнаруженные уязвимости (CVE/BDU);
- Знание HADI-циклов, Customer Development, проведение интервью с пользователями.
Условия работы
- Полностью удалённая работа. Основной рабочий инструмент — Discord.
- Работа в аккредитованной IT-компании.
- 31 оплачиваемый день отдыха в год.
- Обучение на профильных курсах по Linux, сетям и ИБ — за счёт компании.
- Компенсация занятий спортом, курсов английского и сессий с психологом.