Senior Security Engineer

Về CyStackCyStack là công ty an ninh mạng hàng đầu tại Việt Nam, được biết đến với khả năng nghiên cứu chuyên sâu cũng như phát triển các sản phẩm và dịch vụ toàn diện, tập trung vào bảo vệ dữ liệu và bảo mật hệ thống. Các giải pháp của CyStack được tin dùng bởi hơn 200 khách hàng doanh nghiệp thuộc nhiều lĩnh vực, quy mô khác nhau và hơn 50,000 người dùng trên toàn thế giới.Đội ngũ chuyên gia của chúng tôi không chỉ là những nhà nghiên cứu xuất sắc mà còn là diễn giả tại các sự kiện an ninh mạng hàng đầu, cũng như các bug hunter dày dạn kinh nghiệm, được vinh danh trong Hall of Fame của các tập đoàn công nghệ lớn nhờ phát hiện những lỗ hổng nghiêm trọng.Mô tả công việcTìm kiếm, khai thác và làm PoC cho lỗ hổng bảo mật (web, ứng dụng, network, binaries, firmware, v.v.).Thực hiện source code audit cho dịch vụ, thư viện và các ứng dụng của khách hàngTham gia red-team exercises: mô phỏng tấn công thực tế, phát triển kịch bản tấn côngViết advisory/technical write-up cho các phát hiện.Xây dựng và điều chỉnh tools, fuzzers, exploit skeletons, automation để tăng hiệu suất nghiên cứu.Mentorship: hướng dẫn kỹ thuật cho engineer/junior researcher.Đóng góp roadmap sản phẩm: chuyển kết quả research thành rules/detection cho Threat Intelligence, vulnerability scanner…Yêu cầu (Bắt buộc)Tối thiểu 5 năm kinh nghiệm liên quan tới vulnerability research, penetration testing hoặc tương đương.Có bằng chứng phát hiện lỗ hổng đã được ghi nhận: 0-day, CVE (High/Critical), giải Pwn2Own, hoặc lỗ hổng nghiêm trọng trên các chương trình bug bounty lớn. Vui lòng đính kèm link/ID khi ứng tuyển.Kinh nghiệm audit code sâu: tìm bug logic, race conditions, insecure deserialization, auth/ACL bypass, v.v. (ngôn ngữ: ít nhất một trong C/C++, Go, Rust, Java, Python, JavaScript/TypeScript, PHP).Kinh nghiệm Web Security (OWASP top risks: SSRF, XSS, SQLi, RCE, auth flaws, logic flaws, insecure deserialization).Kinh nghiệm red team và penetration testing: xây dựng kịch bản tấn công, lateral movement, privilege escalation (network & app level).Kỹ năng viết PoC, scripts, hoặc automation bằng Python/Go/JS để tái hiện lỗ hổng.Hiểu biết vững về secure SDLC, responsible disclosure, và phối hợp báo cáo với vendor/third-party.Yêu cầu (Ưu tiên)Kinh nghiệm fuzzing web/binaryKinh nghiệm cloud security (AWS/GCP/Azure), container, Kubernetes escalation.Kinh nghiệm mobile/firmware security.Reverse engineering / exploit development là điểm cộng nhưng không bắt buộc.Các đóng góp public: blog posts, conference talks, GitHub PoC, disclosure write-ups.Chứng chỉ: OSCP/OSCE/CREST… hoặc tương đương (không bắt buộc).Quyền lợiThu nhập cạnh tranh (lương cứng + hoa hồng + thưởng hiệu suất).Môi trường chuyên nghiệp, trẻ trung, làm việc cùng các chuyên gia bảo mật hàng đầu Việt Nam.Cơ hội học hỏi, đào tạo về sản phẩm và kỹ thuật bảo mật thực tế.Phúc lợi đầy đủ: BHXH, BHYT, nghỉ phép, du lịch, hoạt động team building.Ứng tuyểnQuy trình tuyển dụng bao gồm:CV reviewTechnical interview (phỏng vấn kỹ thuật sâu & case-based)Final interview Ứng viên ứng tuyển vui lòng gửi CV bao gồm danh sách các phát hiện lỗ hổng công khai (CVE IDs, links tới advisory/PoC, bug-bounty records, giải Pwn2Own, v.v.). về mail hr@cystack.net với tiêu đề [Job Application] Senior Security Engineer - Họ và tên.Liên hệ📞 Phòng Nhân sự CyStack – email hr@cystack.net hoặc số điện thoại 024-7109-9656Địa chỉ làm việc: 317 đường Trường Chinh, phường Phương Liệt, Hà Nội.