Penetration Tester
Tech Stack / Keywords
Firma i stanowisko
NASK S.A. is an organization based in Warsaw. The position focuses on penetration testing and security assessments across IT infrastructure, web applications, mobile applications, and cloud environments.
Wymagania
- Minimum two years of experience in penetration testing in at least two areas: IT infrastructure, web applications, cloud environments.
- Practical experience conducting Black Box, Grey Box, and White Box tests.
- Knowledge of security methodologies and standards: OWASP Testing Guide (WSTG), OWASP ASVS, PTES, NIST SP 800-115, and MITRE ATT&CK.
- Strong knowledge of Windows and Linux operating systems.
- Familiarity with network protocols and security concepts including TCP/IP, DNS, HTTP/HTTPS, SMB, RDP, LDAP, Kerberos, NTLM, SNMP, VPN.
- Manual skills in vulnerability identification, exploitation, and verification, including creating real-impact attack scenarios.
- Experience with tools: Burp Suite Professional, Nmap, Nessus, Metasploit, Impacket, NetExec (CrackMapExec), ffuf, sqlmap, Responder, Wireshark or equivalents.
- Ability to report penetration test results to technical and business stakeholders, including risk assessment (CVSS) and remediation recommendations.
- Competence in conducting client meetings and presenting test findings.
- English language proficiency enabling comfortable use of technical documentation (minimum B2).
- Independence, responsibility, inquisitiveness, and strong analytical skills.
Nice to have:
- Experience with Active Directory security tests and Red Team operations.
- Experience with mobile application security testing (Android/iOS).
- Experience in cloud environment security testing (Microsoft Azure, AWS, Google Cloud Platform).
- Experience with container security testing (Docker, Kubernetes).
- Ability to create scripts and automation tools for testing (Python, PowerShell, Bash).
- Familiarity with CI/CD processes and integrating security tests in software development lifecycle (SAST/DAST).
- Experience delivering training or workshops on offensive security.
- Possession of industry certifications such as penetration testing: CPTS, OSCP, PNPT, eCPPT; web applications: OSWA, OSWE, BSCP; Red Team / Evasion: OSEP, CRTO.
Obowiązki
- Conduct independent penetration tests of IT infrastructure, web applications, mobile applications, and cloud environments.
- Plan test scopes and select appropriate methods and tools based on project characteristics.
- Perform reconnaissance, identify attack surfaces, and analyze environment architecture.
- Identify, confirm, and safely exploit security vulnerabilities.
- Carry out social engineering and phishing tests.
- Test application security following OWASP Web Security Testing Guide and OWASP ASVS methodologies.
- Conduct Active Directory security tests and verify privilege escalation and lateral movement possibilities.
- Verify effectiveness of implemented security measures and perform retests after vulnerability remediation.
- Prepare technical and managerial reports describing vulnerabilities, risk assessment, and remediation recommendations.
- Present test results to clients and participate in summary meetings.
- Collaborate with SOC, Incident Response, Vulnerability Management teams, and system administrators.
- Develop penetration testing methodologies, automate selected activities, and create custom tools supporting the testing process.
- Monitor new attack techniques, vulnerabilities, and tools used by cybercriminals, incorporating them into tests.
Benefity
- Challenging, responsible work in a dynamically developing team.
- Private health care.
- Group life insurance.
- Training and professional development programs.
- Financial support for professional qualifications.
- Promotion opportunities.
- Multisport card.
- Vacation funding.
Inne informacje
Informujemy, że administratorem danych jest NASK S.A. z siedzibą w Warszawie, ul. 11 Listopada 23 (dalej jako "administrator"). Masz prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych oraz wniesienia skargi do organu nadzorczego. Dane osobowe przetwarzane będą w celu realizacji procesu rekrutacji. Podanie danych w zakresie wynikającym z ustawy z dnia 26 czerwca 1974 r. Kodeks pracy jest obowiązkowe. W pozostałym zakresie podanie danych jest dobrowolne. Odmowa podania danych obowiązkowych może skutkować brakiem możliwości przeprowadzenia procesu rekrutacji. Administrator przetwarza dane obowiązkowe na podstawie ciążącego na nim obowiązku prawnego, zaś w zakresie danych dodatkowych podstawą przetwarzania jest zgoda. Dane osobowe będą przetwarzane do czasu zakończenia postępowania rekrutacyjnego i przez okres możliwości dochodzenia ewentualnych roszczeń, a w przypadku wyrażenia zgody na udział w przyszłych postępowaniach rekrutacyjnych - do czasu wycofania tej zgody. Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie. Odbiorcą danych jest serwis Just Join IT oraz inne podmioty, którym powierzyliśmy przetwarzanie danych w związku z rekrutacją.
NASK
46 aktywnych ofert