Аудитор защищенности приложений (Application Security)

Одно из ключевых направлений работы SolidLab — проведение анализа защищённости онлайн-сервисов путём имитации действий реального злоумышленника. Мы выполняем проекты по анализу защищенности веб- и мобильных приложений для крупных ИТ-ориентированных компаний, помогая выявлять критические уязвимости, проверять устойчивость защитных механизмов и повышать уровень зрелости процессов разработки и информационной безопасности.

Мы расширяем нашу команду и ищем appsec-специалистов по направлению Web Application Security уровня Middle и выше. Если ты хочешь развиваться на нетривиальных проектах, у нас для этого есть все возможности и комфортные условия!

Задачи:

• Аудит веб-приложений преимущественно методом белого ящика.
• Подготовка отчётов по результатам проделанных работ.
• По желанию: тимлидинг проектов, т.е. наставничество и контроль качества технической составляющей работ.
• По желанию: участие в R&D-проектах, придумывание новых и улучшение имеющихся методов, подходов и инструментов для проектов (например, fine-tuning нашего SAST-комбайна под разные стеки технологий или доработка методики анализа спецификой конкретного фреймворка).
• По желанию: шаринг экспертизы коллегам из других технических направлений (SOC, VMS, DAST и др.) для прокачки их сервисов и продуктов.

Требования:

• Подтвержденный опыт анализа защищенности веб-приложений: от 2 лет в заказном аудите / от 4 лет в in-house.
• Уверенные знания архитектуры современных веб-приложений, понимание работы сети, client-side и server-side механизмов (например, CORS, флаги cookie, взаимодействие с СУБД, template rendering), современных протоколов (например, OAuth, GraphQL, gRPC).
• Навыки чтения исходного кода на Go, Java Spring, PHP, Python.
• Умение чётко и грамотно формулировать свои мысли в письменном виде.
• Английский язык – на уровне уверенного понимания профессиональной технической литературы без переводчика (в т.ч. AI).

Преимуществом будут:

• Опыт разработки веб-приложений, знание современных шаблонов проектирования.
• Опыт анализа приложений, развернутых в облаке, с учетом специфики окружения.
• Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE.
• Опыт участия в CTF, наличие самостоятельных исследований.
• Наличие профильных сертификатов (BSCP, OSWE).
• Опыт выступлений с техническими докладами на конференциях.

Как выглядит типовой проект

Мы против подхода «запустить сканеры, разгрести false positive, успеть за неделю найти что-то руками и быстрее состряпать отчет», и так - на потоке, каждый раз одно и то же. Мы работаем с заказчиками, для которых принципиально важен максимально глубокий и качественный анализ. Выдавая в таких проектах результаты, за которые не стыдно, мы бонусом получаем непрерывное повышение собственной экспертизы.

• Нашими объектами анализа обычно являются современные крупные приложения или подмножество сервисов экосистемы облачных провайдеров. Дремучее legacy бывает, но значительно реже.
• Анализ проводится в ручном режиме, автоматические инструменты – только для ускорения работы, но не для замены аудитора. Сроки позволяют вникнуть в проект и провести анализ руками.
• На проекте четкое разделение ролей: коммуникацию с заказчиком поддерживают отдельные люди, на исполнителях только техническая составляющая - проверки и отчет. На каждом проекте есть тимлид/архитектор, координирующий действия, проверяющий качество проверок и исполняющий менторскую функцию для junior-аудиторов.
• По результатам работ составляется отчет. Мы уделяем большое внимание тому, чтобы описания не были бездумным копированием шаблона, а учитывали контекст: что именно может получить злоумышленник от уязвимости, какие есть киллчейны, как защититься на разных уровнях и предотвратить появление аналогичных багов в будущем.
• После проектов выделяется время на исследовательские и/или аналитические задачи, которые прямо или косвенно связаны со скоупом проекта, применяемыми методами и инструментами.

Наши преимущества:

• Отсутствие переработок, параллельных проектов и непрофильных задач.
• Прозрачная система планирования и грейдирования. Пожелания сотрудника учитываются при подборе задач.
• Пересмотр зарплат не реже раза в квартал – мы стремимся, чтобы рост сотрудников своевременно отражался на окладе.
• Команда профессионалов, которые готовы делиться экспертизой.
• Отсутствие DLP-систем и микроменеджмента.
• Возможность открытого диалога с руководством любого уровня. Возможность влиять на процессы в компании и подстраивать под себя проектные процессы, если это не вредит результату.