Пенетрационный тестировщик

2–4 года практического опыта в тестировании на проникновение в веб-приложениях, API, мобильной и сетевой инфраструктуре. Прочные знания OWASP Top 10 (Web), OWASP API Security Top 10 и общих классов уязвимостей. Опыт работы с инструментами тестирования на проникновение, включая Burp Suite, OWASP ZAP, Nmap, Metasploit и Nessus/OpenVAS. Способность выполнять тщательное ручное тестирование в дополнение к автоматизированному сканированию. Понимание сетевых протоколов, правил брандмауэра и распространенных конфигурационных ошибок в инфраструктуре. Базовые знания о средах Active Directory и распространенных методах атак. Опыт выполнения внутренних и внешних оценок сетей. Способность четко документировать уязвимости с учетом оценки CVSS, доказательства концепции и рекомендаций по устранению. Основные навыки скриптования на Python или Bash для автоматизации задач и расширения инструментов. Знакомство с концепциями безопасности CI/CD и интеграцией проверок безопасности в конвейеры. Понимание структуры MITRE ATT&CK и модели Убеждения Cyber Kill Chain. Предпочтительные сертификаты: OSWE, OSEP, OSCP, CAPE, CRTO или эквивалентные.