Dołącz do Rublon i pracuj z zespołem pasjonatów cyberbezpieczeństwa, który rozwija przyszłość uwierzytelniania użytkowników w środowiskach enterprise.
Rublon MFA to platforma multi-factor authentication używana przez setki klientów na całym świecie do ochrony logowania pracowników do sieci, serwerów i aplikacji. Tworzymy technologie dla bezpiecznego uwierzytelniania, identity infrastructure oraz integracji cybersecurity używanych w środowiskach firmowych.
Szukamy osoby na stanowisko Młodszego Etycznego Hakera/Pentestera, która ma już pierwsze doświadczenie w testach bezpieczeństwa, chce rozwijać się w kierunku offensive security i będzie wspierać zespół w testowaniu bezpieczeństwa rozwiązań Rublon oraz — pod nadzorem — systemów i aplikacji naszych klientów.
Czym będziesz się zajmować
W tej roli będziesz wspierać realizację testów penetracyjnych, analiz bezpieczeństwa i weryfikacji odporności technologii Rublon MFA oraz powiązanych rozwiązań authentication i identity security.
Będziesz pracować przy testowaniu aplikacji webowych, API, integracji, usług backendowych, komponentów uwierzytelniania oraz środowisk enterprise. Z czasem będziesz poznawać obszary takie jak SSO, Active Directory, Microsoft Entra ID, LDAP, RADIUS, SAML, OpenID Connect, OAuth, FIDO2/WebAuthn, Passkeys, VPN, RDP, Windows Logon, bezpieczeństwo API oraz bezpieczeństwo aplikacji mobilnych.
To jest rola stricte security. Twoim głównym zadaniem będzie pomaganie w znajdowaniu, weryfikowaniu, dokumentowaniu i raportowaniu podatności oraz słabości bezpieczeństwa — zawsze w ramach jasno określonego zakresu, zasad testów i autoryzowanych działań.
Ważną częścią tej roli będzie również wykorzystywanie narzędzi AI w pracy security. Oczekujemy, że potrafisz używać AI do wspierania analizy technicznej, przygotowywania checklist testowych, porządkowania notatek, generowania pomocniczych skryptów, wstępnej analizy kodu, przygotowywania raportów i szukania możliwych scenariuszy testowych — przy zachowaniu odpowiedzialności za weryfikację wyników, poufność danych i zgodność z zasadami bezpieczeństwa.
To stanowisko jest dobrą ścieżką rozwoju dla osoby, która ma solidne podstawy cyberbezpieczeństwa, rozumie zasady etycznego hackingu i chce rozwijać się pod opieką bardziej doświadczonych pentesterów w kierunku samodzielnego specjalisty offensive security.
Jak będziesz pracować
- Lokalizacja: biuro w Krakowie lub w Zielonej Górze
- Obszary technologiczne: web application security, API security, authentication security, MFA, SSO, Active Directory, Microsoft Entra ID, LDAP, RADIUS, SAML, OpenID Connect, OAuth, FIDO2/WebAuthn, Passkeys, Linux, Windows, sieci komputerowe, Burp Suite, OWASP ZAP, Nmap, Wireshark, Python, Bash, PowerShell, GitHub, Docker, AI-assisted security tools
- Rozwój: dostęp do kursów online i możliwość dofinansowania certyfikacji
- Benefity: prywatna opieka medyczna i karta MultiSport
Twoje zadania
Jako Młodszy Etyczny Haker/Pentester w Rublon będziesz:
- wspierać realizację testów penetracyjnych produktów, usług i integracji Rublon MFA,
- uczestniczyć w testach bezpieczeństwa aplikacji webowych, API, backendu, aplikacji mobilnych i komponentów uwierzytelniania,
- realizować wybrane scenariusze testowe pod opieką bardziej doświadczonego pentestera,
- wspierać testy bezpieczeństwa systemów i aplikacji klientów w ramach jasno określonego zakresu i zasad współpracy,
- analizować mechanizmy logowania, MFA, SSO, zarządzania sesją, resetu haseł, uprawnień i kontroli dostępu,
- testować odporność wybranych funkcji na typowe podatności aplikacyjne i konfiguracyjne,
- wykonywać podstawowy rekonesans techniczny w ramach autoryzowanych testów,
- korzystać z narzędzi takich jak Burp Suite, OWASP ZAP, Nmap, Wireshark oraz narzędzi systemowych Linux i Windows,
- weryfikować wyniki automatycznych skanerów i odróżniać realne podatności od false positives,
- przygotowywać czytelne opisy znalezionych problemów, wraz z krokami odtworzenia, oceną ryzyka i rekomendacjami naprawczymi,
- pomagać w przygotowywaniu raportów z testów bezpieczeństwa,
- współpracować z developerami, QA, DevOps, supportem i product managerami przy analizie podatności oraz walidacji poprawek,
- wykonywać retesty po wdrożeniu poprawek bezpieczeństwa,
- dokumentować metodykę testów, checklisty, obserwacje techniczne i wnioski z analiz,
- stopniowo poznawać bezpieczeństwo systemów uwierzytelniania, w tym MFA, SSO, Active Directory, Entra ID, LDAP, RADIUS, SAML, OIDC, OAuth, FIDO2/WebAuthn i Passkeys,
- wspierać analizę konfiguracji środowisk testowych oraz integracji enterprise,
- pisać proste skrypty pomocnicze w Pythonie, Bashu lub PowerShellu do automatyzacji powtarzalnych czynności testowych,
- wykorzystywać narzędzia AI do tworzenia checklist, analizy notatek, generowania pomocniczych skryptów, porządkowania wyników testów i przygotowywania roboczych wersji raportów,
- krytycznie weryfikować wyniki wygenerowane przez AI i nie traktować ich jako substytutu własnej analizy technicznej,
- dbać o poufność danych, przestrzeganie zasad testów, etykę działań oraz bezpieczeństwo informacji pozyskanych podczas analiz.
Wymagania
Szukamy osoby, która ma:
- pierwsze doświadczenie w cyberbezpieczeństwie, testach bezpieczeństwa, CTF, bug bounty, laboratoriach pentesterskich, projektach własnych lub pracy na podobnym stanowisku,
- praktyczną znajomość podstaw testów bezpieczeństwa aplikacji webowych i API,
- podstawową znajomość OWASP Top 10 oraz typowych klas podatności aplikacyjnych,
- podstawową wiedzę o protokołach webowych, w szczególności HTTP, HTTPS, cookies, sesjach, nagłówkach i REST API,
- podstawową wiedzę o sieciach komputerowych, w szczególności TCP/IP, DNS, portach, usługach sieciowych i komunikacji klient-serwer,
- podstawową znajomość systemu Linux i narzędzi terminalowych,
- podstawową znajomość systemu Windows z perspektywy użytkownika technicznego lub administratora,
- umiejętność pracy z narzędziami typu Burp Suite, OWASP ZAP lub podobnymi,
- umiejętność logicznego analizowania problemów technicznych i dokumentowania wyników,
- rozumienie zasad etycznego hackingu, legalności testów, autoryzowanego zakresu działań i odpowiedzialnego raportowania podatności,
- podstawowe rozumienie zasad bezpieczeństwa uwierzytelniania, autoryzacji, zarządzania sesją i kontroli dostępu,
- zainteresowanie systemami uwierzytelniania, MFA, SSO, Active Directory, Entra ID, LDAP, RADIUS lub identity security,
- podstawową umiejętność programowania lub skryptowania, najlepiej w Pythonie, Bashu albo PowerShellu,
- praktyczną znajomość narzędzi AI wspierających analizę techniczną, programowanie, dokumentację lub pracę security,
- umiejętność tworzenia jasnych poleceń dla narzędzi AI, dzielenia analizy na mniejsze kroki oraz weryfikowania wyników generowanych przez AI,
- świadomość ograniczeń AI i umiejętność samodzielnego sprawdzania poprawności wniosków, skryptów, raportów i rekomendacji,
- podstawowe rozumienie zasad bezpiecznego korzystania z AI w pracy z kodem, danymi projektowymi, wynikami testów i informacjami poufnymi,
- dokładność, odpowiedzialność i gotowość do uczenia się od bardziej doświadczonych specjalistów,
- komunikatywną znajomość języka angielskiego pozwalającą czytać dokumentację techniczną, raporty bezpieczeństwa, opisy podatności i materiały szkoleniowe.
Mile widziane
Dodatkowym atutem będzie doświadczenie lub zainteresowanie którymkolwiek z poniższych obszarów:
- testy penetracyjne aplikacji webowych,
- testy bezpieczeństwa API,
- testy bezpieczeństwa aplikacji mobilnych,
- testy bezpieczeństwa aplikacji desktopowych lub usług backendowych,
- Burp Suite Professional,
- OWASP Web Security Testing Guide,
- OWASP API Security Top 10,
- OWASP Mobile Top 10,
- CTF, Hack The Box, PortSwigger Web Security Academy, TryHackMe lub podobne platformy szkoleniowe,
- bug bounty lub odpowiedzialne zgłaszanie podatności,
- Python w automatyzacji testów bezpieczeństwa,
- Bash, PowerShell lub inne narzędzia skryptowe,
- podstawy secure code review,
- podstawy threat modeling,
- podstawy kryptografii stosowanej,
- podstawy Active Directory security,
- Microsoft Entra ID,
- LDAP,
- RADIUS,
- SAML,
- OpenID Connect,
- OAuth,
- Single Sign-On,
- Multi-Factor Authentication,
- FIDO2/WebAuthn,
- Passkeys,
- bezpieczeństwo VPN, RDP lub Windows Logon,
- podstawy bezpieczeństwa chmury, szczególnie AWS lub Microsoft Azure,
- Docker i środowiska testowe,
- Git i praca z repozytoriami kodu,
- CI/CD security,
- SIEM, logi bezpieczeństwa i podstawy detekcji,
- znajomość podatności opisanych w CVE i umiejętność analizy advisory,
- certyfikaty lub przygotowanie do certyfikacji takich jak eJPT, PNPT, OSCP, CompTIA Security+, Security Blue Team, Burp Suite Certified Practitioner lub podobne,
- praktyczne użycie AI do wspierania pentestów, analizy podatności, tworzenia skryptów, raportowania lub code review,
- tworzenie agentic workflows wspierających analizę bezpieczeństwa, przygotowanie testów, dokumentowanie wyników lub automatyzację powtarzalnych czynności,
- formalne wykształcenie informatyczne, cybersecurity lub pokrewne, albo równoważne doświadczenie praktyczne.
Dlaczego warto aplikować
Ta rola może być dla Ciebie dobrym wyborem, jeśli:
- chcesz rozwijać się jako etyczny haker lub pentester w środowisku produktowym cybersecurity,
- interesuje Cię bezpieczeństwo systemów uwierzytelniania, MFA, SSO, IAM i identity security,
- chcesz testować technologie używane przez firmy na całym świecie,
- chcesz zdobywać praktyczne doświadczenie w pentestach produktów, API, aplikacji i integracji enterprise,
- zależy Ci na pracy pod opieką bardziej doświadczonych specjalistów offensive security,
- chcesz uczyć się, jak znajdować podatności, opisywać je w sposób użyteczny dla zespołów technicznych i weryfikować skuteczność poprawek,
- interesują Cię technologie takie jak Active Directory, Entra ID, LDAP, RADIUS, SAML, OpenID Connect, OAuth, FIDO2/WebAuthn i Passkeys,
- chcesz wykorzystywać programowanie oraz AI jako realne narzędzia przyspieszające analizę, automatyzację i raportowanie,
- cenisz precyzję, poufność, etykę działania i odpowiedzialne podejście do bezpieczeństwa,
- szukasz miejsca, w którym możesz przejść od roli juniora do samodzielnego pentestera lub specjalisty offensive security.
Etapy rekrutacji
Po przesłaniu aplikacji:
- Zaprosimy Cię na rozmowę online z rekruterem.
- Następnie poprosimy Cię o realizację testu online, który zajmie około 2 godzin.
- Kolejnym krokiem będzie rozmowa techniczna z osobą z zespołu, podczas której omówimy Twoje doświadczenie, sposób myślenia, podstawy cyberbezpieczeństwa, testów aplikacji webowych i API, sieci komputerowych, systemów uwierzytelniania, programowania, raportowania podatności oraz wykorzystywania AI w pracy security.
- Na końcu zaprosimy Cię na rozmowę finalną z CEO.