Привет! Мы — SHEVEREV, аккредитованная IT-компания, занимающаяся разработкой веб-сервисов и мобильных приложений различной сложности.
Мы создаем цифровые продукты, которые меняют мир. От платформ для онлайн-обучения до удобных сервисов для путешествий. Мы работаем с лидерами российского и зарубежного рынков, решая самые сложные задачи с помощью передовых технологий.
Сейчас нам требуется специалист по безопасности на проектной основе для пентеста наших приложений. Занятость на 10-30 часов
Требования:
- Опыт коммерческого пентеста веб-приложений от 2 лет;
- Глубокое понимание OWASP Top 10;
- Умение "дожать" уязвимость: не просто найти, а понять сценарий эксплуатации и риски для бизнеса;
- Навык составления отчетов: умеете писать понятно для разработчиков (как повторить, как исправить) и для менеджмента (критичность, риски).
Будет плюсом:
- Опыт Code Review (понимание ЯП, чтобы подсветить проблему в коде);
- Опыт аудита проектов на CMS (Bitrix).
Что нужно будет сделать (Объем работ)
- Провести рекогносцировку (разведку) предоставленных ресурсов;
- Выполнить ручной поиск уязвимостей (фокус на бизнес-логику и контроль доступа);
- Проверить устойчивость к автоматизированным атакам (при необходимости);
- Подготовить итоговый отчет, который включает:
1. Детальное описание уязвимостей (с шагами воспроизведения — PoC, скриншотами/видео);
2. Рекомендации по исправлению (для разработчиков).