Jobs Penetration Tester

Вакансія передбачає службу у технічно-експериментальному підрозділі у складі Сил Оборони України.

Обов’язки:

• Пошук публічно доступної інформації про компанії та окремих фізичних осіб (OSINT): WHOIS, DNS, Shodan, соцмережі та ін;
• Сканування портів і служб з метою виявлення вразливостей;
• Робота з великою кількістю вивантажених цифрових даних з метою розширити присутність у мережі та знайти вразливості;
• Участь в організації та реалізації фішингових атак;
• Пошук та реалізація нових/нововиявлених вразливостей;
• Інструктаж пентестерів-аналітиків щодо входу в мережу.

Вимоги до кандидатів:

• Розуміння та вміння експлуатувати вразливості типу SQL injection, LFI, RCE, iDOR;
• Навички роботи з BurpSuite, Measploit, sqlmap;
• Знання скриптових мов, вміння писати скрипти;
• Знання Android-пентест.

Умови:

• Можливість працювати з командою, яка вражає об’єкти глибоко на території ворога;
• Служба в Києві в сучасному штабі (як прийнято — з кавою та печивом);
• Гібридний графік роботи (поєднання роботи з офісу та роботи з дому за умови територіального перебування в Києві);
• Повне забезпечення підрозділу;
• Відсутність раптових переведень;
• Служба за контрактом;
• Можливість переведення для обмежено придатних;
• Можливість переведення для чинних військовослужбовців НГУ та військовослужбовців з тилових частин ЗСУ;
• Грошове забезпечення від 22 000 до 70 000 грн; 
• Забезпечення житлом за необхідності (м. Київ);
• Обов’язкове проходження перевірки з допомогою поліграфу.

Твоя основна місія:
Своєчасно виявити слабкі місця в вебдодатках, API, мобільних застосунках та хмарних середовищах, захищаючи компанію від потенційних кібератак та забезпечуючи безперебійне функціонування її сервісів.

У фокусі роботи:
- проведення пентестів вебдодатків, API, мобільних застосунків та хмарних середовищ;
- використання інструментів статичного (SAST) та динамічного (DAST) аналізу для виявлення вразливостей;
- аналіз, документування та підготовка звітів з рекомендаціями щодо усунення виявлених проблем;
- автоматизація тестування для підвищення ефективності;
- моделювання загроз та створення тестових сценаріїв;
- моніторинг кіберзагроз;
- проведення fuzz-тестування та реверс-інжинірингу.

Від тебе очікуємо:
- ґрунтовні знання OWASP (Web, API, Mobile);
- впевнене володіння інструментами: Burp Suite, Nmap, Metasploit, Nessus, Nikto, Acunetix, Ghidra;
- знання спеціалізованих інструментів для мобільного пентесту (Frida, MobSF) та роботи з API (Postman);
- досвід роботи з мовами програмування Python / Bash / PowerShell для автоматизації;
- знання SQL;
- розуміння мережевих протоколів (TCP/IP, HTTP, HTTPS) та клієнтсерверної архітектури;
- досвід тестування RESTful та GraphQL API;
- вміння працювати з Docker та Kubernetes;
- готовність працювати в офісі (Київ).

Буде плюсом:
- наявність сертифікацій (наприклад, OSCP, OSWE, CEH);
- досвід участі у програмах Bug Bounty;
- досвід роботи з DevSecOps;
- розуміння інструментів SIEM та систем логування.

Ми пропонуємо:
- роботу з продуктом, яким користується країна та захоплюється світ;
- конкурентну заробітну плату;
- професійний розвиток та навчання;
- зручний офіс у центрі міста;
- бронювання.

Moodro шукає спеціаліста, який проводить авторизоване тестування безпеки вбудованих та підключених систем і допомагає команді закривати ризики через практичні рекомендації.

Формат: Київ (перевага, офлайн/гібрид) • пріоритет full-time. Можливий формат не з Києва за умови повної доступності та готовності до періодичних візитів (за потреби).

Чим будете займатись

• Проводити security assessment компонентів embedded/connected систем у лабораторному середовищі.
• Виявляти та описувати ризики у логіці аутентифікації, контролі доступів, оновленнях, конфігураціях та обміні даними.
• Валідувати виправлення разом з інженерами (ретести, regression checks).
• Готувати чіткі звіти з ризиками, відтворюваністю та рекомендаціями.

Must-have

• 3+ роки досвіду в pentest/security testing (бажано IoT/embedded, але не обов’язково).
• Крипто-основи: симетричне шифрування AES, різниця симетричне/асиметричне (DH/RSA), хешування (SHA-256), базове розуміння KDF.
• Linux, базовий network/traffic analysis (на рівні інструментів і логіки).
• Вміння пояснювати ризики просто і по суті (звітність, комунікація).

Nice-to-have

• Дотичність до firmware/бінарного аналізу (навіть базово).
• Python для автоматизації перевірок/аналізу даних.