Для нас информационная безопасность — это всё, что касается безопасности наших пользователей, продуктов, сетей и серверов. А также непрерывное взаимодействие с инженерами, которые разрабатывают и поддерживают наши проекты.

У нас работает самая крупная среди российских компаний программа Bug Bounty. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов.

Мы активно усиливаем нашу команду информационной безопасности, поэтому прямо сейчас ищем инженера Application Security, который знает, как защитить зеттабайты бесценных данных от любых угроз.

Задачи

• обеспечивать защиту разрабатываемых и используемых компанией приложений;
• моделировать угрозы и формировать требования к безопасности веб-приложений;
• консультировать разработчиков и контролировать устранение выявленных уязвимостей;
• выявлять и реагировать на инциденты ИБ;
• тестировать безопасность сайта;
• развивать и поддерживать процесс безопасной разработки;
• проводить ревью и аудиты безопасности;
• участвовать в программах Bug Bounty;
• внедрять технологии, компенсирующие эксплуатацию уязвимостей.

• вы сможете влиять на продукт с многомиллионной аудиторией;
• будете сталкиваться с интересными задачами и вызовами;
• окажетесь в команде профессионалов своего дела и просто классных людей.

Требования

• обладаете отличными знаниями и практическим опытом работы в области Application Security;
• занимались анализом защищённости веб-приложений — Black Box, White Box, Grey Box;
• разбираетесь в уязвимостях мобильных и веб-приложений;
• умеете читать код и выявлять ошибки;
• создавали пайплайны CI/CD;
• работали со сканерами уязвимостей;
• владеете Bash, Python или любым другим средством скриптовой автоматизации;
• понимаете принципы работы систем аутентификации и авторизации — OAuth, SAML, 2FA;
• знаете основные виды атак и техники их проведения — OWASP Top 10, OWASP Mobile Top 10.

Будет плюсом

если вы знаете Client-Side и Server-Side уязвимости и вам знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, Clickjacking, CRLF Injection, Open Redirect, RCE, SQL injection, XXE, JWT Misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization Bypass, SSRF. Но если не знакомы, мы расскажем и научим.