Пентестировщик

2–4 года практического опыта в пентестировании веб-приложений, API, мобильных устройств и сетевой инфраструктуры. Устойчивые знания OWASP Top 10 (Web), OWASP API Security Top 10 и общих классов уязвимостей. Опыт работы с инструментами тестирования на проникновение, включая Burp Suite, OWASP ZAP, Nmap, Metasploit и Nessus/OpenVAS. Способность выполнять тщательное ручное тестирование в дополнение к автоматизированному сканированию. Понимание сетевых протоколов, правил межсетевого экрана и общих ошибок конфигурации инфраструктуры. Базовые знания о средах Active Directory и общих техниках атак. Опыт как внутренних, так и внешних оценок сети. Способность четко документировать уязвимости с помощью оценки CVSS, доказательства концепции и рекомендаций по устранению. Базовые навыки скриптования на Python или Bash для автоматизации задач и расширения инструментов. Знание концепций безопасности CI/CD и интеграция сканирований безопасности в конвейеры. Понимание фреймворка MITRE ATT&CK и Cyber Kill Chain. Предпочтительные сертификаты: OSWE, OSEP, OSCP, CAPE, CRTO или эквивалентные.