How do I apply for this job?

Click the Apply button and submit your CV.

Is remote work allowed?

Yes, remote work is possible depending on the department.

Tầng 16, Tòa nhà Hapulico Center Building, Số 1 Nguyễn Huy Tưởng, Thanh Xuân, Hà Nội.

Kiểm Thử Thâm Nhập (penetration Testing) Phân Tích Lỗ Hổng Bảo Mật Kiểm Thử Hộp Đen (black Box Testing) Kiểm Thử Hộp Trắng (white Box Testing) Kiểm Thử Hộp Xám (grey Box Testing)

Salary: Thoả thuận

Job Type: Full-time

Experience: 1 year of experience

Openings: 1

Posted: 2025-11-07 14:16

Thực hiện kiểm thử bảo mật chuyên sâu:
- Triển khai kiểm thử xâm nhập (Pentest) đối với ứng dụng Mobile (iOS/Android), bao gồm cả API backend và cơ sở hạ tầng liên quan nội bộ và khách hàng.
- Xây dựng và thực hiện các kịch bản tấn công tùy chỉnh, cung cấp bằng chứng khai thác (Proof of Concept - PoC) cho các lỗ hổng đã phát hiện.
- Đưa ra hướng dẫn chi tiết để khắc phục lỗ hổng và hỗ trợ kiểm tra lại (re-testing) sau khi đã fix.
- Thực hiện quét lỗ hổng định kỳ với SAST/DAST, phân tích báo cáo từ công cụ (Checkmarx, SonarQube, MobSF...) và đánh giá rủi ro an toàn thông tin.
- Nghiên cứu các framework mã nguồn mở, xây dựng công cụ hỗ trợ kiểm thử và khai thác tự động Mobile Security (Frida, Objection, Drozer, MobSF...).
- Phát triển PoC/Exploit cho các CVE liên quan đến mobile/ứng dụng dựa trên các CVE đã công bố, nghiên cứu các kỹ thuật khai thác lỗ hổng mới, các công nghệ mới và công bố qua seminar tại công ty, blog
- Theo dõi các xu hướng bảo mật mới nhất, chủ động đề xuất và thử nghiệm các biện pháp bảo mật mới.

Có trên 1 năm kinh nghiệm trong lĩnh vực kiểm thử xâm nhập (ưu tiên mobile)
Kiến thức tốt về Mobile App Security (iOS/Android), API Security và OWASP Mobile Top 10 và hệ điều hành (Windows, Linux, macOS).
Kiến thức về mạng: mô hình OSI, TCP/IP, các giao thức.
Kỹ năng lập trình:
- Thành thạo ít nhất một hoặc nhiều hơn các ngôn ngữ lập trình sau: Python, PHP, Java, C, C#, .NET.
- Kinh nghiệm debug, phân tích mã nguồn reverse engineering từ mã compiler (smali, jadx, Ghidra, IDA, Frida), khả năng hook native code trong ứng dụng

Hiểu biết về các lỗ hổng bảo mật:
- Nắm vững các lỗ hổng bảo mật phổ biến trong OWASP Top 10, SANS Top 25 và các kỹ thuật khai thác tương ứng.
- Mobile Security: Insecure Data Storage, Insecure Communication, Reverse Engineering, Bypass Root/Jailbreak Detection, Certificate Pinning Bypass…
- Sử dụng thành thạo các công cụ Pentest: Burp Suite, Nmap, Metasploit, Kali Linux, Frida, Objection, Drozer, MobSF, Apktool, Jadx,.. và có khả năng khai thác thủ công và tùy chỉnh công cụ tự động để tối ưu phù hợp

Hưởng mức thu nhập hấp dẫn thuộc top các công ty hàng đầu trong lĩnh vực CNTT tại Việt Nam.
Cơ hội đảm nhiệm các vị trí quản lý hoặc chuyên gia trong lĩnh đảm nhiệm.
Các chế độ phúc lợi xã hội theo quy định pháp luật như: BHYT, BHXH, BHTN...
Các chế độ phúc lợi hấp dẫn và bền vững: Du lịch, nghỉ mát, bảo hiểm sức khỏe, bảo hiểm nhân thọ cho nhân sự xuất sắc, thưởng theo kết quả sản xuất kinh doanh...
Đào tạo nâng cao nghiệp vụ, kỹ năng, chứng chỉ quốc tế để phát triển hơn chuyên môn và thăng tiến nghề nghiệp.