Jobs Penetration Tester

Вакансія передбачає службу у технічно-експериментальному підрозділі у складі Сил Оборони України.

Обов’язки:

• Пошук публічно доступної інформації про компанії та окремих фізичних осіб (OSINT): WHOIS, DNS, Shodan, соцмережі та ін;
• Сканування портів і служб з метою виявлення вразливостей;
• Робота з великою кількістю вивантажених цифрових даних з метою розширити присутність у мережі та знайти вразливості;
• Участь в організації та реалізації фішингових атак;
• Пошук та реалізація нових/нововиявлених вразливостей;
• Інструктаж пентестерів-аналітиків щодо входу в мережу.

Вимоги до кандидатів:

• Розуміння та вміння експлуатувати вразливості типу SQL injection, LFI, RCE, iDOR;
• Навички роботи з BurpSuite, Measploit, sqlmap;
• Знання скриптових мов, вміння писати скрипти;
• Знання Android-пентест.

Умови:

• Можливість працювати з командою, яка вражає об’єкти глибоко на території ворога;
• Служба в Києві в сучасному штабі (як прийнято — з кавою та печивом);
• Гібридний графік роботи (поєднання роботи з офісу та роботи з дому за умови територіального перебування в Києві);
• Повне забезпечення підрозділу;
• Відсутність раптових переведень;
• Служба за контрактом;
• Можливість переведення для обмежено придатних;
• Можливість переведення для чинних військовослужбовців НГУ та військовослужбовців з тилових частин ЗСУ;
• Грошове забезпечення від 22 000 до 70 000 грн; 
• Забезпечення житлом за необхідності (м. Київ);
• Обов’язкове проходження перевірки з допомогою поліграфу.

Твоя основна місія:
Своєчасно виявити слабкі місця в вебдодатках, API, мобільних застосунках та хмарних середовищах, захищаючи компанію від потенційних кібератак та забезпечуючи безперебійне функціонування її сервісів.

У фокусі роботи:
- проведення пентестів вебдодатків, API, мобільних застосунків та хмарних середовищ;
- використання інструментів статичного (SAST) та динамічного (DAST) аналізу для виявлення вразливостей;
- аналіз, документування та підготовка звітів з рекомендаціями щодо усунення виявлених проблем;
- автоматизація тестування для підвищення ефективності;
- моделювання загроз та створення тестових сценаріїв;
- моніторинг кіберзагроз;
- проведення fuzz-тестування та реверс-інжинірингу.

Від тебе очікуємо:
- ґрунтовні знання OWASP (Web, API, Mobile);
- впевнене володіння інструментами: Burp Suite, Nmap, Metasploit, Nessus, Nikto, Acunetix, Ghidra;
- знання спеціалізованих інструментів для мобільного пентесту (Frida, MobSF) та роботи з API (Postman);
- досвід роботи з мовами програмування Python / Bash / PowerShell для автоматизації;
- знання SQL;
- розуміння мережевих протоколів (TCP/IP, HTTP, HTTPS) та клієнтсерверної архітектури;
- досвід тестування RESTful та GraphQL API;
- вміння працювати з Docker та Kubernetes;
- готовність працювати в офісі (Київ).

Буде плюсом:
- наявність сертифікацій (наприклад, OSCP, OSWE, CEH);
- досвід участі у програмах Bug Bounty;
- досвід роботи з DevSecOps;
- розуміння інструментів SIEM та систем логування.

Ми пропонуємо:
- роботу з продуктом, яким користується країна та захоплюється світ;
- конкурентну заробітну плату;
- професійний розвиток та навчання;
- зручний офіс у центрі міста;
- бронювання.

Moodro шукає спеціаліста, який проводить авторизоване тестування безпеки вбудованих та підключених систем і допомагає команді закривати ризики через практичні рекомендації.

Формат: Київ (перевага, офлайн/гібрид) • пріоритет full-time. Можливий формат не з Києва за умови повної доступності та готовності до періодичних візитів (за потреби).

Чим будете займатись

• Проводити security assessment компонентів embedded/connected систем у лабораторному середовищі.
• Виявляти та описувати ризики у логіці аутентифікації, контролі доступів, оновленнях, конфігураціях та обміні даними.
• Валідувати виправлення разом з інженерами (ретести, regression checks).
• Готувати чіткі звіти з ризиками, відтворюваністю та рекомендаціями.

Must-have

• 3+ роки досвіду в pentest/security testing (бажано IoT/embedded, але не обов’язково).
• Крипто-основи: симетричне шифрування AES, різниця симетричне/асиметричне (DH/RSA), хешування (SHA-256), базове розуміння KDF.
• Linux, базовий network/traffic analysis (на рівні інструментів і логіки).
• Вміння пояснювати ризики просто і по суті (звітність, комунікація).

Nice-to-have

• Дотичність до firmware/бінарного аналізу (навіть базово).
• Python для автоматизації перевірок/аналізу даних.

Твоїми завданнями будуть: 

• проведення тестування на проникнення (Pentest) корпоративних інформаційних систем, мереж та додатків; 
• ідентифікація вразливостей і слабких місць у системах безпеки та програмному забезпеченні; 
• аналіз та оцінка ризиків інформаційної безпеки, формування звітів із рекомендаціями щодо усунення виявлених недоліків; 
• розробка та тестування заходів захисту інформації для підвищення стійкості систем до атак; 
• взаємодія з іншими підрозділами для впровадження заходів з покращення безпеки; 
• підготовка технічної документації щодо проведених тестів, результатів аналізу і рекомендацій; 
• участь у внутрішніх аудитах інформаційної безпеки та підтримка політик захисту даних. 

Що для цього потрібно: 

• вища освіта (бакалавр/магістр) у галузі комп’ютерних наук, інформаційних технологій або суміжних спеціальностей, бажано з акцентом на інформаційну безпеку; 
• здатність проводити аналіз безпеки систем, ідентифікувати вразливості та формулювати рекомендації щодо їх усунення; 
• базові навички роботи з інструментами тестування безпеки та сканування вразливостей (наприклад, Nmap, Metasploit, Burp Suite); 
• розуміння принципів мережевої безпеки, операційних систем і протоколів передачі даних; 

Буде перевагою: 

• досвід проведення тестування на проникнення та аналізу вразливостей у корпоративних інформаційних системах; 
• знання стандартів та нормативів з інформаційної безпеки (ISO 27001, NIST, GDPR тощо); 
• сертифікації у сфері кібербезпеки (наприклад, CEH, OSCP, CompTIA Security+); 
• навички програмування або скриптування (Python, Bash, PowerShell); 
• досвід роботи з хмарними платформами та їх безпекою (AWS, Azure, GCP); 
• участь у внутрішніх або зовнішніх аудитах інформаційної безпеки. 

Ми пропонуємо: 

• унікальний досвід в диджиталізації державних органів влади; 
• для діючих військовослужбовців - переведення в рамках служби
• для офіцерів запасу з підписанням контракту до оголошення рішення про демобілізацію і призначенням на посаду в один з підрозділів МОУ; 
• мобілізація на військову службу (для офіцерів запасу – служба за контрактом); 
• всі види військового забезпечення.