Ищете свежие вакансии инженера по информационной безопасности? Находите заказы напрямую от клиентов, обсуждайте условия без посредников, выбирайте интересные задачи и работайте онлайн через безопасную сделку.
Найти заказ Найти заказПровести внешний и внутренний пентест сайта на уязвимости (SQL-инъекции, XSS, CSRF, подбор паролей, загрузка файлов, логические ошибки). Настроить WAF (Web Application Firewall). Подготовить отчет с выявленными уязвимостями (критичные, высокие, средние, низкие) и рекомендациями по исправлению.
Необходимо проверить смарт-контракт стартапа на наличие уязвимостей перед деплоем в сеть. Отчет предоставить в свободной форме с рекомендациями по исправлениям.
Сайт компании был взломан, хостер прислал уведомление о рассылке фишинга. Нужно найти шеллы, вычистить вредоносный код и закрыть дыры в безопасности.
Агентству нужно развернуть WireGuard на арендованном сервере, создать 20 клиентских доступов и ограничить их права к внутренним ресурсам.
Для финтех-проекта требуются регламенты работы с паролями, доступом к БД и инструкция для сотрудников по защите от социальной инженерии (стандарт ISO 27001).
Легальный пентест нашей внешней инфраструктуры. Письменное разрешение предоставим. Требуется сымитировать атаку нарушителя и выдать подробный лог действий.
На платформе eTXT исполнители-фрилансеры самостоятельно ищут задания в общей ленте, изучают требования клиентов, оценивают объем задачи и предлагают свои сроки и цены. Стоит учитывать, что в сфере IT высокая конкуренция, поэтому регулярная работа и вакансии по информационной безопасности достаются тем, кто умеет грамотно себя презентовать. Получение заказа напрямую зависит от качественного отклика, наличия релевантного портфолио с кейсами по защите сетей и вашего умения аргументировать технический подход потенциальному клиенту на этапе переговоров.
Главная ценность такого исполнителя для бизнеса — предотвращение финансовых и репутационных потерь от кибератак, утечек баз данных и инсайдерских сливов. Компании публикуют вакансии специалиста по информационной безопасности для решения конкретных задач: проведения глубокого аудита инфраструктуры, защиты веб-приложений от DDoS-атак, настройки корпоративных фаерволов и тестирования сетей на проникновение (пентест). По итогам сотрудничества заказчик получает готовый результат: детализированный PDF-отчет с описанием найденных уязвимостей и рекомендациями (по стандартам ISO 27001 или PCI DSS), конфигурационные файлы для сетевого оборудования или рабочие доступы к настроенным системам мониторинга.
Для качественного выполнения заказов потребуется уверенное владение профильным инструментарием: анализаторами трафика (Wireshark), сканерами уязвимостей (Nmap, Burp Suite), фреймворками для этичного хакинга (Metasploit) и SIEM-системами. Поскольку на eTXT публикуются задания разного масштаба, здесь найдется как базовая подработка по информационной безопасности (например, базовая настройка защиты сайта от спама или написание инструкций для сотрудников), так и сложные архитектурные заказы для специалистов уровня Senior.
Для успешного закрытия сделки необходимо глубоко вникать в бизнес-задачи клиента и оценивать риски. До старта работ обязательно уточняйте «узкие места» технического задания: например, четко согласуйте скоуп (границы) пентеста, чтобы автоматические сканеры случайно не «положили» боевые серверы компании, или определите уровни доступов, которые вам предоставят. Биржа eTXT — это отличная площадка, чтобы конвертировать свои навыки в реальный доход, а встроенная «безопасная сделка» гарантированно защитит вас от рисков неоплаты после успешной сдачи заказа.
Выбор графика работы, проектов и уровня дохода
Доход от 30 000 до 80 000 руб. в месяц и выше, в зависимости от уровня навыков
Реальный способ получить первый опыт и построить карьеру
Поиск уязвимостей (SQLi, XSS, CSRF) на ресурсах заказчика с использованием методов этичного хакинга и составление отчета.
Подключение и конфигурация Web Application Firewall (например, Cloudflare), создание жестких правил фильтрации вредоносного трафика.
Анализ логов серверов после взлома или утечки данных для выявления точки входа злоумышленника и устранения последствий атаки.
Проектирование защищенной архитектуры, настройка корпоративных файерволов, систем IDS/IPS и безопасного удаленного доступа для сотрудников.
Базовый аудит
Активная защита
Комплексный контроль
Более 800 тыс. заказчиков
вакансии удаленной работы от прямых работодателей
Гарантия оплаты
проверенные вакансии удаленной работы
Работа онлайн удаленно
из дома, свободный график
Рейтинг и отзывы
рост ставок
Регистрация
Создайте аккаунт исполнителя
Портфолио
Добавьте 5-10 лучших работ
Отклик
Найдите заказ и подайте заявку
Заработок
Выполните и получите оплату
Как безопасно провести сканирование на уязвимости (Vulnerability Scanning) на сайте заказчика, чтобы случайно не нарушить работу его бизнеса?
Активное сканирование инструментами вроде Acunetix или Nessus создает высокую нагрузку и может привести к отказу в обслуживании (DoS), особенно на слабых серверах. Как технически грамотный исполнитель, вы должны до старта работ попросить клиента развернуть тестовую среду (Staging), полностью копирующую боевую. Если тестирование возможно только на рабочем сервере («на проде»), обязательно согласуйте в ТЗ «окно обслуживания» (обычно это ночь) и снизьте количество потоков в настройках сканера. Если сервер всё же зависнет, но вы действовали строго в рамках утвержденного ТЗ и временного окна, арбитраж биржи примет сторону исполнителя.
Что такое пентест (тест на проникновение)?
Это моделирование реальной кибератаки для выявления уязвимостей. Делится на внешний и внутренний пентест: социальная инженерия, взлом паролей, переполнение буфера, SQLi, XSS, CSRF, инъекции.
Что делать, если заказчик требует устранить уязвимости, хотя в задании был только аудит?
Аудит и устранение уязвимостей — разные услуги. Если в ТЗ указан только отчёт, исправление кода или конфигураций оформляется отдельным этапом с дополнительной оплатой. Все изменения фиксируйте через переписку. При споре арбитраж ориентируется на изначально согласованные условия.
Я провел сложный аудит инфраструктуры для крупного финтех-проекта, но клиент заставил подписать жесткий NDA. Как мне теперь демонстрировать этот успешный кейс в своем портфолио на бирже?
Соглашение о неразглашении (NDA) имеет юридический приоритет. Публиковать данные клиента без его согласия категорически запрещено — это приведет к блокировке вашего профиля и возможным искам. Единственный профессиональный выход: попросить у клиента письменное разрешение на публикацию полностью анонимизированного отчета (Blind Case Study). В таком документе удаляются названия компании, замазываются IP-адреса, домены и логотипы, но остается суть вашей работы (найденные CVE, методы эксплуатации и рекомендации). Если клиент откажет даже в этом, кейс придется оставить в тайне.
Заказчик просит провести пентест (Black Box) инфраструктуры конкурента или отказывается предоставить официальное письмо-разрешение (Letter of Authorization) на аудит своих собственных систем. Можно ли брать такой заказ?
Категорически нет. Любые активные действия (сканирование портов, брутфорс, эксплуатация уязвимостей) без явного, документально подтвержденного согласия владельца инфраструктуры являются незаконными. Сам факт создания заказа на бирже не заменяет Letter of Authorization. Вы обязаны запросить документ с подписью, подтверждающий, что заказчик владеет этими ресурсами. Если клиент отказывается, смело отказывайтесь от работы. Биржа блокирует заказчиков, пытающихся нанять исполнителей для атак на чужие ресурсы (Black Hat).
Во время аудита я выяснил, что для закрытия критической уязвимости клиенту нужно обновить устаревшее ядро системы (Legacy). Клиент отказывается, так как это сломает его самописный софт, и не принимает мою работу, аргументируя тем, что «дыра не закрыта». На чьей стороне правда?
Задача специалиста по ИБ в рамках аудита — обнаружить уязвимости, оценить риски (например, по шкале CVSS) и предложить корректные методы устранения. Если единственно верный технический путь (обновление ядра) нарушает бизнес-процессы клиента, решение об игнорировании этого риска принимает сам бизнес. Ваша работа считается выполненной в полном объеме с момента передачи качественного отчета и рекомендаций. Арбитраж биржи встанет на вашу сторону и одобрит выплату, так как вы не несете ответственности за устаревшую архитектуру заказчика.
Я был нанят для реагирования на инцидент (Incident Response) после взлома базы данных. Я вычистил сервер от вредоносов и закрыл вектор атаки. Теперь заказчик требует 100% гарантии, что его больше никогда не взломают. Как реагировать?
Ни один адекватный специалист по кибербезопасности не может дать 100% гарантию защиты от будущих взломов, так как постоянно появляются новые уязвимости нулевого дня (Zero-Day). Ваша задача в рамках инцидента — остановить текущую атаку, устранить найденные бэкдоры и минимизировать ущерб. Обязательно фиксируйте в ТЗ до начала работ, что результатом вашей услуги является ликвидация конкретного инцидента, а не пожизненная неуязвимость сервера. Арбитраж рассматривает выполнение обязательств только в рамках согласованного объема задач.
Как корректно зафиксировать границы пентеста, чтобы не выйти за рамки закона и ТЗ?
Перед началом работ обязательно оформляйте письменное разрешение на тестирование и фиксируйте «Rules of Engagement»: перечень IP-адресов, доменов, допустимые методы (black/white/gray box), запрет на DoS-атаки без согласования. Уточните, проводится ли тестирование в продакшене или тестовой среде. Все условия фиксируйте в переписке на бирже. Если вы действуете строго в рамках согласованного задания, арбитраж eTXT будет учитывать именно зафиксированные условия.
Как аргументировать стоимость комплексного аудита?
Обосновывайте цену объёмом инфраструктуры: количество серверов, приложений, сетевых узлов, глубина тестирования (автоматизированное сканирование + ручной анализ). Укажите методологию (OWASP, NIST) и ожидаемый результат — структурированный отчёт с приоритетами по CVSS.
Нужно ли передавать заказчику PoC или полноценный эксплойт?
Обычно достаточно Proof of Concept, подтверждающего наличие уязвимости. Полноценные эксплойты передаются только по отдельной договорённости и при согласовании юридических аспектов. Это должно быть прописано в ТЗ.
Как избежать споров по критичности уязвимостей?
Согласуйте шкалу оценки (например, CVSS v3.1) до начала работ. В отчёте указывайте формулу расчёта и факторы риска. Это снижает субъективность и упрощает защиту позиции при споре.
English
Регистрация
