Cпециалист по безопасности приложений

Анализ угроз и защищенности приложений, сервисов и инфраструктуры

Проведение тестирований на проникновение внутренних и публичных сервисов

Формирование рекомендаций и внутренних требований к безопасности систем

Compliance-аудиты корпоративных систем

Развитие направлений учета, Compliance-соответствия, управления уязвимостями корпоративных систем.

Участие в формировании принципов безопасной разработки

Взаимодействие с техническими командами для разбора и устранения найденных уязвимостей, консультаций по архитектуре будущих проектов и др

Понимание принципов разработки безопасных веб-приложений, методов безопасной разработки.

Знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP TOP 10, MITRE ATT&CK, CWE, SQLi, XSS, CSRF, Command injection и т. д. )

Опыт использования основных утилит: nmap, metasploit, burp suite , owasp zap и т. д.

Понимание методов защиты уровня ОС (Windows, Linux)

Способность проведения security code review

Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др. )

Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости, понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне