- Thực hiện kiểm thử xâm nhập (Pentest) cho ứng dụng Web, API/Mobile App, hệ thống mạng, server, cloud theo phạm vi dự án.
- Tham gia các hoạt động Vulnerability Assessment & Penetration Testing (VA/PT); Internal/External/Blackbox/Greybox testing.
- Phân tích, khai thác và đánh giá mức độ ảnh hưởng của lỗ hổng bảo mật.
- Viết báo cáo pentest mô tả lỗ hổng, bằng chứng khai thác (PoC), đánh giá mức độ rủi ro, đề xuất biện pháp khắc phục.
- Phối hợp với Dev/DevOps/IT team của khách hàng để hỗ trợ fix lỗi; phối hợp với technical team trong các hoạt động audit, tư vấn giải pháp cho khách hàng.
- Cập nhật kiến thức về lỗ hổng mới (OWASP, CVE), kỹ thuật tấn công & phòng thủ.

- Có từ 1 đến 4 năm kinh nghiệm trong lĩnh vực Pentest, Application Security, API Security.
- Hiểu rõ OWASP Top 10, các lỗ hổng Web phổ biến như SQLi, XSS, CSRF, IDOR.
- Có kinh nghiệm sử dụng các công cụ như Burp Suite, Nmap, Metasploit (hoặc tương đương).
- Hiểu cơ bản về REST API, Windows, Linux, Networking (TCP/IP, DNS).
- Có khả năng viết báo cáo kỹ thuật rõ ràng, logic.
- Có kiến thức về Cloud security (AWS/Azure/GCP), Docker/Kubernetes, AI là một lợi thế.
- Có ít nhất một trong các chứng chỉ sau: CEH, eJPT, OSCP, CompTIA PenTest+.
- Tư duy phân tích, logic tốt.
- Chủ động học hỏi, cập nhật kỹ thuật mới.
- Giao tiếp tốt với khách hàng, team kỹ thuật và không kỹ thuật.
- Tuân thủ đạo đức nghề nghiệp và bảo mật thông tin.

- Môi trường làm việc đa dạng, được tiếp xúc nhiều quy mô khách hàng và nhiều cơ hội phát triển kỹ năng.
- Chế độ bảo hiểm đầy đủ (BHXH, BHYT, BHTN) và bảo hiểm tư nhân.
- Thưởng Lễ, Tết và dự án.
- Chế độ nghỉ phép năm 12 ngày và ngày phép thưởng.
- Chế độ thưởng theo hiệu quả công việc.
- Được đào tạo và cấp chứng chỉ; được tài trợ học và tham gia các khóa đào tạo về chuyên môn & hỗ trợ thi chứng chỉ.
- Review lương định kỳ tối thiểu 1 lần/năm.
- Lộ trình thăng tiến về nghề nghiệp rõ ràng.