Middle Penetration Tester

Компания: Caps

Локация: Полностью удалённо

Формат работы: Удаленно

Зарплата: ~$3500 (обсуждаемо)

Проект: Игровая платформа на Telegram Mini Apps с TON blockchain(Caps), реальными платежами (депозиты/выводы в TON, Telegram Stars/XTR), NFT/Gift маркетплейсом, PvP и WebSocket в реальном времени. Высокая нагрузка + реальные деньги → security на первом месте.

Ищем Middle, который реально находит уязвимости (не только чек-листы), понимает бизнес-логику и финансовые риски, хочет расти в blockchain/fintech/gaming security.

Ключевые задачи:

• Тестирование REST API + WebSocket (авторизация, IDOR, access control, rate limiting bypass)
• Аудит бизнес-логики: финансовые операции, race conditions, idempotency, edge cases, антифрод, RTP-механики
• TON blockchain security: TonConnect (proof, replay protection), deposit/withdrawal flows, on/off-chain consistency, double-spend
• Telegram Stars / Gifts: invoice/callback validation, abuse scenarios
• Базовый аудит инфраструктуры (PostgreSQL, Redis, Docker misconfigs)

Must-have:

• Практика с Burp Suite / Postman / Insomnia на REST API
• Опыт WebSocket-тестирования
• Навыки эксплуатации: IDOR, auth bypass, race conditions, business logic flaws, базовые injections
• Понимание Telegram Mini Apps auth (initData, signature)
• Rate limiting + обход
• Структурированные отчёты по уязвимостям
• Базовая безопасность PostgreSQL / Redis

Плюсом:

• TON / TonConnect / Telegram Stars / Mini Apps security
• Bug Bounty / CTF (HTB, TryHackMe)
• Replay / idempotency атаки
• Базовая криптография (nonce, signatures)
• Go backend / React/TS frontend анализ
• CI/CD security

Предлагаем:

• Реальный продукт с деньгами и нагрузкой
• Погружение в TON + Telegram-экосистему
• Влияние на архитектуру
• Тесная работа с dev-командой
• Адекватные ожидания от middle

Глубокая экспертиза в блокчейне не обязательна — поможем войти в домен.

Откликнуться: @hrv_po