Modelo de trabalho: Remoto Contratação: PJ Buscamos um(a)Pentester / AppSecpara atuar em projetos de segurança ofensiva, com foco na identificação, exploração e documentação de vulnerabilidades em aplicações web, APIs, ambientes cloud e demais componentes tecnológicos.Responsabilidades – Realizar pentests em aplicações web, APIs e ambientes de nuvem; – Identificar, explorar e validar vulnerabilidades de segurança; – Utilizar ferramentas como Burp Suite, Postman, Nmap, Metasploit, entre outras; – Criar scripts customizados para automação de testes e exploração de vulnerabilidades; – Avaliar mecanismos de autenticação e autorização, como OAuth 2.0 e JWT; – Analisar aplicações, serviços, containers e ambientes Linux sob a ótica de segurança ofensiva; – Documentar vulnerabilidades de forma clara, com evidências, impacto, risco e recomendações de correção; – Reportar os achados para públicos técnicos e não técnicos; – Colaborar com desenvolvedores, times de DevOps e demais áreas de segurança; – Gerenciar múltiplos projetos de pentest simultaneamente.Requisitos – Experiência prática com pentests em aplicações web e APIs; – Conhecimento do OWASP Top 10 para aplicações web e APIs; – Familiaridade com vulnerabilidades como SQL Injection, XSS, SSRF, IDOR, entre outras; – Experiência com ferramentas como Burp Suite, Postman, Nmap e Metasploit; – Conhecimento em scripts customizados com Python, Bash ou similares; – Conhecimento em HTTP/HTTPS, REST e WebSockets; – Familiaridade com autenticação e autorização, incluindo OAuth 2.0 e JWT; – Habilidade para escrever scripts e explorar vulnerabilidades; – Experiência com linguagens como Java, C#, Python, JavaScript, PHP ou outras utilizadas em análise de segurança; – Conhecimento em containers/Docker; – Conhecimento em Linux; – Experiência em pentests em ambientes de nuvem, como AWS, Azure ou GCP; – Capacidade de documentar e reportar vulnerabilidades de forma compreensível para diferentes públicos; – Perfil analítico, com capacidade de pensar como um atacante e explorar caminhos não convencionais; – Boa colaboração com times técnicos, DevOps e segurança; – Capacidade de gerenciar múltiplos projetos simultaneamente; – Inglês e espanhol avançados.Diferenciais – Contribuições para a comunidade de segurança, como publicações, CTFs ou bug bounties; – Experiência com análise de código seguro e revisão de código; – Conhecimento em SAST; – Certificações como OSCP, eCPPT, GWAPT ou CEH.