Пенетрационный тестировщик

2–4 года практического опыта в проведении пенетрационного тестирования веб-приложений, API, мобильных устройств и сетевой инфраструктуры. Солидные знания OWASP Top 10 (веб), OWASP API Security Top 10 и общих классов уязвимостей. Опыт работы с инструментами для проведения пенетрационного тестирования, такими как Burp Suite, OWASP ZAP, Nmap, Metasploit и Nessus/OpenVAS. Умение проводить тщательное ручное тестирование помимо автоматического сканирования. Понимание сетевых протоколов, правил брандмауэра и распространенных конфигураций инфраструктуры. Базовые знания об окружениях Active Directory и распространенных техниках атак. Опыт проведения как внутренних, так и внешних оценок сети. Умение четко документировать уязвимости с использованием оценок CVSS, доказательств концепции и рекомендаций по устранению. Базовые навыки скриптования на Python или Bash для автоматизации задач и расширения инструментов. Знание понятий безопасности CI/CD и интеграции сканирования безопасности в конвейеры. Понимание фрейма MITRE ATT&CK и Cyber Kill Chain. Предпочтительные сертификаты: OSWE, OSEP, OSCP, CAPE, CRTO или эквивалентные.