Jobs Penetration Tester

Project Context

Our client is building and maintaining software systems where reliability, data protection, and secure user flows are critical. The QA function is not limited to checking whether features work as expected. The team also needs someone who can actively challenge the system, identify weak points, verify security assumptions, and help prevent vulnerabilities before they reach production.

We are looking for an Ethical Hacker / Penetration Tester who can work closely with QA (or as a part time QA), engineering, and product teams to test web applications, APIs, authentication flows, permissions, infrastructure exposure, and overall application security.

This is a hands-on role. The main expectation is to find real risks, reproduce them clearly, document them properly, and help the engineering team validate that fixes are effective.

Role

We are looking for a Security QA Engineer / Ethical Hacker / Penetration Tester who will take ownership of security testing across application, API, and platform layers.

This person should be comfortable working as part of a QA-oriented delivery process while bringing deeper security expertise into the team. The role requires practical knowledge of penetration testing, vulnerability assessment, secure testing methods, and clear communication with developers.

Key Responsibilities

• Perform manual security testing of web applications, APIs, user flows, and admin panels.
• Conduct penetration testing against staging and production-like environments.
• Identify, reproduce, document, and validate security vulnerabilities.
• Test authentication, authorization, permissions, session management, password flows, and access-control logic.
• Review API endpoints for broken access control, injection risks, data exposure, rate-limit issues, and insecure design.
• Validate security fixes and perform regression security testing.
• Work with QA engineers to include security checks in the regular testing process.
• Prepare clear reports with reproduction steps, evidence, severity, impact, and recommended remediation.
• Collaborate with developers to explain vulnerabilities and verify that fixes address the real issue.
• Support threat modeling and security review of new features when needed.
• Help improve security awareness and testing standards inside the team.

Required Experience

• 3+ years of experience in penetration testing, application security, security QA, or ethical hacking.
• Strong understanding of OWASP Top 10 and common web application vulnerabilities.
• Experience testing REST APIs and web-based systems.
• Practical experience with authentication and authorization testing.
• Ability to discover, reproduce, and explain vulnerabilities clearly.
• Experience using security testing tools such as Burp Suite, OWASP ZAP, Nmap, Wireshark, Metasploit, or similar.
• Understanding of HTTP, HTTPS, cookies, headers, sessions, JWT, OAuth2, MFA, and role-based access control.
• Ability to write simple scripts or proof-of-concept checks when needed, preferably in Python.
• Strong documentation skills and ability to produce actionable vulnerability reports.
• Good communication skills and ability to work directly with engineering and QA teams.
• Upper-intermediate or better English for written and spoken communication.

Nice to Have

• Experience with cloud security testing, especially AWS, Azure, or GCP.
• Experience with Docker, Kubernetes, CI/CD pipelines, and infrastructure security basics.
• Experience with mobile application security testing.
• Experience with secure code review.
• Experience with SAST, DAST, dependency scanning, and security automation.
• Bug bounty experience or responsible disclosure background.
• Security certifications such as OSCP, PNPT, eJPT, CEH, GWAPT, or similar.
• Experience working in product teams rather than only external consulting environments.

What Success Looks Like

• Security issues are found early and described clearly.
• Developers can reproduce and fix reported vulnerabilities without confusion.
• QA coverage becomes stronger because security checks are included in regular delivery.
• Authentication, authorization, and API risks are actively tested before release.
• Security findings are prioritized by real impact, not just tool output.
• The team gains practical confidence that critical user flows and sensitive data are protected.

BALTUM is a cybersecurity and compliance consulting company. We are looking for a freelance penetration tester to collaborate on client projects.

What we offer:
- Project-based engagement (part-time/freelance)
- Projects: web/API pentest, network assessment, cloud security review
- You work as a subcontractor - we handle client communication
- Upfront payment on first projects
- Opportunity for ongoing collaboration as demand grows

Responsibilities:
- Conduct web, API, network, and infrastructure penetration tests
- Prepare professional reports (Executive Summary + Technical, CVSS scoring)
- Provide remediation recommendations
- Communicate findings clearly in written form

Requirements:
- Real commercial pentesting experience (1+ engagements)
- Proficiency with: Burp Suite, Nmap, Metasploit, or similar tools
- Knowledge of OWASP Top 10
- Ability to write clear technical reports in English
- Must have FOP (private entrepreneur) or equivalent for invoicing

Наш партнер — інноваційна технологічна компанія/ Наша мета полягає в тому, щоб сприяти технологічному розвитку, створюючи передові та інноваційні продукти, які відповідають потребам наших клієнтів.

Компанія пишається своєю корпоративною культурою, яка підтримує інновації та співпрацю, ми створюємо умови для того, щоб наші співробітники могли розвиватися професійно і досягати нових висот у своїй кар’єрі.
Зараз компанія в пошуку досвідченого Penetration Tester
 

Функціональні обов'язки:

• Моделювання загроз для HW/SW продуктів
• Ідентифікація ризиків, верифікація можливих атак, рекомендаці по зниженню ризиків.
• Огляд архітектур з точки зору безпеки.
• Визначення критичних компонентів та security review (security code ревью, реверс інжинірінг).
• Демонстрація атак (PoC).

Вимоги:

• Досвід в SW/HW пентестах.
• Знання різних видів механізмів та технологій безпеки.
• Досвід SW/HW реверс інжинірінгу, розробка/адаптація експлойтів.
• Знання різних технологій захисту від атак (SW/HW).
• Досвід в код ревʼю (репорти CVE будуть перевагою).

Додатково:

• Розуміння HW атак, таких як glitch атаки, SCA атаки.
• Знання основних криптографічних методів зазисту.
• Досвід в Web assessment.
• Досвід атак з викоритсанням SDR
• Ocобисті CVE, статті в області інф. безпеки.₴
  Ми пропонуємо:
• Офіційне працевлаштування, з бронюванням
• Можливість розвитку 

• Стабільну завантаженість та доступ до сучасного ПЗ

   

Наша команда займається розробкою високотехнологічних рішень для ураження ворожих цілей. Ми створюємо повноцінні продукти - від ідеї до серійного виробництва. 

Зараз шукаємо Technical writer що підсилить нашу IT команду. 

Необхідні навички та досвід:
 

• Досвід роботи Technical Writer, IT Documentation Specialist або на суміжній позиції від 3 років.
• Досвід підготовки технічної документації для IT-систем, інфраструктури або програмних продуктів.
• Розуміння основ IT-інфраструктури: сервери, мережі, віртуалізація, операційні системи, хмарні сервіси.
• Вміння швидко розбиратися в технічних темах і перетворювати складну інформацію у зрозумілу документацію.
• Навички структурованого написання текстів, створення технічних інструкцій та гайдів.
• Досвід співпраці з технічними командами (System Administrators, DevOps, Network Engineers).
   

Майбутні обов'язки:
 

• Розробка, оновлення та підтримка технічної документації для інфраструктурних IT-систем.
• Документування процесів адміністрування, розгортання та підтримки інфраструктурних сервісів.
• Підготовка зрозумілих інструкцій, гайдів і knowledge base матеріалів для інженерів, DevOps-команд, служби підтримки та користувачів.
• Співпраця з системними адміністраторами, DevOps, мережевими інженерами та архітекторами для збору технічної інформації.
• Структурування та стандартизація технічної документації.
• Підтримка актуальності документації під час змін інфраструктури, релізів та міграцій.
• Підготовка схем, діаграм архітектури та технічних workflow.
• Проведення рев’ю технічної документації та покращення її якості, зрозумілості й структури.
• Участь у створенні шаблонів, стандартів і best practices для документування IT-інфраструктури (архітектурні описи, інструкції з налаштування, експлуатаційна документація, сервери, мережі, віртуалізація, хмарні сервіси).
   

Умови роботи:
 

• офіційне працевлаштування через КзпП;
• відпустка — 24 календарних дні на рік + 1 день відпустки на день народження;
• медичне страхування після успішного проходження випробувального терміну;
• можливість створювати нове, експериментувати та вирішувати складні завдання;
• професійне зростання та постійне вдосконалення навичок;
• команда однодумців та інноваторів
• бронювання військовозобов'язаних за умови наявності актуальних військово-облікових документів;
• комфортний офіс на правому березі Києва.

Обов'язки

• сканування портів і служб з метою виявлення вразливостей
• робота з великою кількістю вивантажених цифрових даних для розширення присутності у мережі та пошуку вразливостей
• участь в організації та реалізації фішингових атак
• пошук та реалізація нових і нововиявлених вразливостей
• інструктаж пентестерів-аналітиків щодо входу в мережу
• пошук публічно доступної інформації про компанії та окремих фізичних осіб (OSINT): WHOIS, DNS, Shodan, соцмережі тощо

Вимоги

• розуміння та вміння експлуатувати вразливості типу SQL injection, LFI, RCE, iDOR
• навички роботи з Burp Suite, Metasploit, SQLmap
• знання скриптових мов та вміння писати скрипти
• знання Android-пентест

Умови

• служба за контрактом
• служба в Києві в технічному хабі підрозділу (сучасний офіс у центрі Києва з наявністю всього необхідного обладнання, смачної кави та печива)
• виїзди на полігони для проведення випробувань власних розробок
• можливість переведення з тилових частин та переведення військовослужбовців НГУ за згодою командира
• відсутність раптових переведень
• грошове забезпечення від 25 000 гривень — залежно від досвіду та технічного рівня
• можливість проживати в розташуванні підрозділу або, за бажанням, у власному житлі
• стабільний графік роботи з можливістю підлаштування під власні потреби
• принципи служби, побудовані на сучасних ІТ-підходах
• стабільний графік відпусток (30 днів на рік) (на жаль, виїзди за кордон обмежені)
• можливість отримання кваліфікації БПЛА-пілота або інженера паралельно з безпосередньою діяльністю
• систематичне проходження поліграфа — обов’язкове