Penetration Testing Engineer
DigiSource
Testing (QA, QC, Tester)
Mô tả công việc
Trách nhiệm/ Responsibility
- Thực hiện kiểm thử xâm nhập (Penetration Testing)
- Triển khai kiểm thử nội bộ và bên ngoài trên các hệ thống mạng, ứng dụng web,ứng dụng di động và hạ tầng đám mây (AWS, Azure, GCP) để xác định lỗ hổng bảo mật quan trọng.
Conduct internal and external testing on network systems, web applications, mobile applications, and cloud infrastructure (AWS, Azure, GCP) to identify critical security vulnerabilities.
- Mô phỏng các kịch bản tấn công thực tế (phishing, social engineering, bruteforce, APT, DDoS) nhằm đánh giá khả năng chịu đựng và phản ứng của hệ thống trước nguy cơ thật.
Simulate real attack scenarios (phishing, social engineering, bruteforce, APT, DDoS) to evaluate the system's tolerance and response to real risks.
- Tiến hành kiểm thử trên mạng không dây (wireless), IoT và thiết bị nhúng để tìm ra lỗ hổng kết nối, trái phép và cấu hình sai.
Conduct testing on wireless, IoT and embedded devices to find connectivity errors, unauthorized access and misconfigurations.
- Đánh giá lỗ hổng (Vulnerability Assessment)
- Sử dụng các công cụ quét tự động (Nessus, OpenVAS, Qualys) và kiểm thử thủ công (Metasploit, Burp Suite, SQLmap) để phát hiện điểm yếu về cấu hình, mã nguồn hoặc giao thức mạng.
Use automated scanning tools (Nessus, OpenVAS, Qualys) and manual testing (Metasploit, Burp Suite, SQLmap) to detect configuration, source code, or network protocol weaknesses.
- Phân tích chuyên sâu (manual review) các kết quả quét để loại bỏ false-positive và phân loại lỗ hổng theo mức độ rủi ro (CVSS score) nhằm ưu tiên khắc phục.
Manually review scan results to eliminate false-positives and classify vulnerabilities by risk level (CVSS score) to prioritize remediation\
- Báo cáo và khuyến nghị (Reporting & Remediation
-Soạn thảo báo cáo chi tiết các lỗ hổng (exploit steps, proof-of-concept, ảnh chụp màn hình) và đánh giá tác động tiềm ẩn đến hoạt động kinh doanh.
Prepare detailed vulnerability reports (exploit steps, proof-of-concept, screenshots) and assess potential business impact
-Đề xuất biện pháp khắc phục (patch, cấu hình lại, code review) và phối hợp với các đội DevOps/DevSecOps,
IT để giám sát tiến độ vá lỗi.
Propose remediation (patch, reconfigure, code review) and coordinate with DevOps/DevSecOps, IT teams to
monitor patch progress.
-Thực hiện kiểm thử lại (re-test) sau khi vá lỗ hổng để xác minh tính hiệu quả của biện pháp khắc phục.
Perform re-testing after patching to verify the effectiveness of the remediation.
- Xây dựng và duy trì công cụ, quy trình (Tooling & Process Development)
- Phát triển và duy trì các script tự động hóa kiểm thử (Python, Bash) để tăng hiệu suất và độ chính xác của quá trình phát hiện lỗ hổng.
Develop and maintain test automation scripts (Python, Bash) to increase the efficiency and accuracy of the vulnerability detection process.
- Đề xuất và tích hợp các giải pháp DAST/SAST, IAST, EDR, XDR vào pipeline CI/CD để phát hiện sớm lỗ hổng ngay trong giai đoạn phát triển phần mềm.
Propose and integrate DAST/SAST, IAST, EDR, XDR solutions into CI/CD pipeline to detect vulnerabilities early in the software development phase.
-Cập nhật và chia sẻ các best practices về kiểm thử, viết bài hướng dẫn nội bộ hoặc workshop để nâng cao kiến thức bảo mật của đội ngũ phát triển và vận hành.
Update and share testing best practices, write internal tutorials or workshops to improve security knowledge of
development and operations teams.
- Giám sát xu hướng tấn công mới (Threat Intelligence)
-Theo dõi các nguồn như MITRE ATT&CK, VirusTotal, Bug Bounty platforms, các hội thảo bảo mật (Black Hat, DEF CON, SANS) để cập nhật các kỹ thuật tấn công mới, zero-day exploits và sự biến động của malware.
Follow sources like MITRE ATT&CK, VirusTotal, Bug Bounty platforms, security conferences (Black Hat, DEF CON, SANS) to stay updated on new attack techniques, zero-day exploits and malware evolution.
- Phân tích và chia sẻ thông tin tình báo (threat feeds) nội bộ để xây dựng các rule phòng thủ (IDS/IPS, WAF) kịp thời chống lại các mối đe dọa đang nổi lên.
Analyze and share internal intelligence (threat feeds) to build timely defense rules (IDS/IPS, WAF) against emerging threats.
- Hỗ trợ đào tạo và nâng cao nhận thức bảo mật (Training & Awareness)
- Hướng dẫn, đào tạo các developer, tester và nhóm vận hành về an toàn bảo mật, các phương pháp phòng thủ cơ bản, cách phát hiện, phòng chống phishing,social engineering, và quy trình phản ứng khi gặp tấn công.
Train and educate developers, testers, and operations teams on security, basic defenses, phishing detection and prevention, social engineering, and attack response procedures.
- Tham gia xây dựng chương trình CTF nội bộ, workshop mô phỏng tấn công giúp tăng cường kỹ năng thực hành cho đội ngũ.
Participate in building internal CTF programs and attack simulation workshops to enhance team's practical skills.
- Thực hiện kiểm thử xâm nhập (Penetration Testing)
- Triển khai kiểm thử nội bộ và bên ngoài trên các hệ thống mạng, ứng dụng web,ứng dụng di động và hạ tầng đám mây (AWS, Azure, GCP) để xác định lỗ hổng bảo mật quan trọng.
Conduct internal and external testing on network systems, web applications, mobile applications, and cloud infrastructure (AWS, Azure, GCP) to identify critical security vulnerabilities.
- Mô phỏng các kịch bản tấn công thực tế (phishing, social engineering, bruteforce, APT, DDoS) nhằm đánh giá khả năng chịu đựng và phản ứng của hệ thống trước nguy cơ thật.
Simulate real attack scenarios (phishing, social engineering, bruteforce, APT, DDoS) to evaluate the system's tolerance and response to real risks.
- Tiến hành kiểm thử trên mạng không dây (wireless), IoT và thiết bị nhúng để tìm ra lỗ hổng kết nối, trái phép và cấu hình sai.
Conduct testing on wireless, IoT and embedded devices to find connectivity errors, unauthorized access and misconfigurations.
- Đánh giá lỗ hổng (Vulnerability Assessment)
- Sử dụng các công cụ quét tự động (Nessus, OpenVAS, Qualys) và kiểm thử thủ công (Metasploit, Burp Suite, SQLmap) để phát hiện điểm yếu về cấu hình, mã nguồn hoặc giao thức mạng.
Use automated scanning tools (Nessus, OpenVAS, Qualys) and manual testing (Metasploit, Burp Suite, SQLmap) to detect configuration, source code, or network protocol weaknesses.
- Phân tích chuyên sâu (manual review) các kết quả quét để loại bỏ false-positive và phân loại lỗ hổng theo mức độ rủi ro (CVSS score) nhằm ưu tiên khắc phục.
Manually review scan results to eliminate false-positives and classify vulnerabilities by risk level (CVSS score) to prioritize remediation\
- Báo cáo và khuyến nghị (Reporting & Remediation
-Soạn thảo báo cáo chi tiết các lỗ hổng (exploit steps, proof-of-concept, ảnh chụp màn hình) và đánh giá tác động tiềm ẩn đến hoạt động kinh doanh.
Prepare detailed vulnerability reports (exploit steps, proof-of-concept, screenshots) and assess potential business impact
-Đề xuất biện pháp khắc phục (patch, cấu hình lại, code review) và phối hợp với các đội DevOps/DevSecOps,
IT để giám sát tiến độ vá lỗi.
Propose remediation (patch, reconfigure, code review) and coordinate with DevOps/DevSecOps, IT teams to
monitor patch progress.
-Thực hiện kiểm thử lại (re-test) sau khi vá lỗ hổng để xác minh tính hiệu quả của biện pháp khắc phục.
Perform re-testing after patching to verify the effectiveness of the remediation.
- Xây dựng và duy trì công cụ, quy trình (Tooling & Process Development)
- Phát triển và duy trì các script tự động hóa kiểm thử (Python, Bash) để tăng hiệu suất và độ chính xác của quá trình phát hiện lỗ hổng.
Develop and maintain test automation scripts (Python, Bash) to increase the efficiency and accuracy of the vulnerability detection process.
- Đề xuất và tích hợp các giải pháp DAST/SAST, IAST, EDR, XDR vào pipeline CI/CD để phát hiện sớm lỗ hổng ngay trong giai đoạn phát triển phần mềm.
Propose and integrate DAST/SAST, IAST, EDR, XDR solutions into CI/CD pipeline to detect vulnerabilities early in the software development phase.
-Cập nhật và chia sẻ các best practices về kiểm thử, viết bài hướng dẫn nội bộ hoặc workshop để nâng cao kiến thức bảo mật của đội ngũ phát triển và vận hành.
Update and share testing best practices, write internal tutorials or workshops to improve security knowledge of
development and operations teams.
- Giám sát xu hướng tấn công mới (Threat Intelligence)
-Theo dõi các nguồn như MITRE ATT&CK, VirusTotal, Bug Bounty platforms, các hội thảo bảo mật (Black Hat, DEF CON, SANS) để cập nhật các kỹ thuật tấn công mới, zero-day exploits và sự biến động của malware.
Follow sources like MITRE ATT&CK, VirusTotal, Bug Bounty platforms, security conferences (Black Hat, DEF CON, SANS) to stay updated on new attack techniques, zero-day exploits and malware evolution.
- Phân tích và chia sẻ thông tin tình báo (threat feeds) nội bộ để xây dựng các rule phòng thủ (IDS/IPS, WAF) kịp thời chống lại các mối đe dọa đang nổi lên.
Analyze and share internal intelligence (threat feeds) to build timely defense rules (IDS/IPS, WAF) against emerging threats.
- Hỗ trợ đào tạo và nâng cao nhận thức bảo mật (Training & Awareness)
- Hướng dẫn, đào tạo các developer, tester và nhóm vận hành về an toàn bảo mật, các phương pháp phòng thủ cơ bản, cách phát hiện, phòng chống phishing,social engineering, và quy trình phản ứng khi gặp tấn công.
Train and educate developers, testers, and operations teams on security, basic defenses, phishing detection and prevention, social engineering, and attack response procedures.
- Tham gia xây dựng chương trình CTF nội bộ, workshop mô phỏng tấn công giúp tăng cường kỹ năng thực hành cho đội ngũ.
Participate in building internal CTF programs and attack simulation workshops to enhance team's practical skills.
Yêu cầu công việc
Yêu cầu/Requirement
- Trình độ học vấn và kinh nghiệm
-Bằng cấp: Tốt nghiệp Đại học trở lên chuyên ngành Khoa học máy tính, Công nghệ thông tin, An ninh mạng,
Kỹ thuật máy tính hoặc tương đương.
Degree: University degree or higher in Computer Science, Information Technology, Network Security,
Computer Engineering or equivalent.
-Kinh nghiệm: Tối thiểu 2–5 năm kinh nghiệm làm Penetration Tester, Red Team, hoặc trong vai trò tương tự,
đã thực hiện kiểm thử lỗ hổng cho ứng dụng web, mạng, hạ tầng đám mây và môi trường DevSecOps.
Experience: Minimum 2–5 years of experience as a Penetration Tester, Red Team, or in a similar role,
performing vulnerability testing for web applications, networks, cloud infrastructure, and DevSecOps
environments.
- Kiến thức và kỹ năng chuyên sâu
-Công cụ kiểm thử xâm nhập: Thành thạo Metasploit, Nmap, Burp Suite Pro, Nessus, Wireshark, SQLmap, Hydra, Cobalt Strike và các công cụ pentest khác.
Penetration testing tools: Proficient in Metasploit, Nmap, Burp Suite Pro, Nessus, Wireshark, SQLmap, Hydra, Cobalt Strike and other pentest tools.
-Chương trình và scripting: Có kỹ năng lập trình hoặc scripting bằng Python, Bash, PowerShell, Ruby hoặc JavaScript để tự động hóa kiểm thử, phân tích log và khai thác lỗ hổng.
Programming and scripting: Programming or scripting skills in Python, Bash, PowerShell, Ruby or JavaScript to automate testing, log analysis and vulnerability exploitation.
- Kiến thức về mạng và hệ điều hành: Hiểu biết sâu về TCP/IP, HTTP/S, DNS,SSL/TLS, cấu trúc mạng LAN/WAN, Active Directory, và cách tấn công/khai thác trên các hệ điều hành Linux, Windows Server, Unix
Web Application Security: Nắm vững OWASP Top 10, hiểu rõ cách khai thác SQL Injection, XSS, CSRF, SSRF, file inclusion, authentication bypass và các kỹ thuật tấn công tầng ứng dụng khác.
Network and operating system knowledge: Deep understanding of TCP/IP, HTTP/S, DNS, SSL/TLS, LAN/WAN network structure, Active Directory, and how to attack/exploit on Linux, Windows Server, Unix operating systems.
Web Application Security: Master OWASP Top 10, understand how to exploit SQL Injection, XSS, CSRF, SSRF, file inclusion, authentication bypass and other application layer attack techniques.
- Cloud Security: Có kinh nghiệm kiểm thử hạ tầng đám mây (AWS, Azure, GCP), biết cách sử dụng công cụ như ScoutSuite, Prowler, CloudSploit để đánh giá bảo mật cloud.
Cloud Security: Experience in testing cloud infrastructure (AWS, Azure, GCP), know how to use tools such as ScoutSuite, Prowler, CloudSploit to assess cloud security.
- Red Team & Social Engineering: Có kinh nghiệm thực hiện Red Team assessments, spear-phishing, vishing, physical security testing và kỹ thuật social engineering khác để đánh giá con người và quy trình trong tổ chức. Red Team & Social Engineering: Experience performing Red Team assessments, spear-phishing, vishing, physical security testing and other social engineering techniques to evaluate people and processes within an organization.
- Phân tích log và SIEM: Sử dụng thành thạo công cụ SIEM (Splunk, ELK Stack, QRadar) để thu thập, phân tích và phát hiện các chỉ dấu tấn công (IoC), setup alerts và xây dựng dashboard liên quan đến an ninh.
Log analysis and SIEM: Proficient in using SIEM tools (Splunk, ELK Stack, QRadar) to collect, analyze and detect indicators of attack (IoC), set up alerts and build security-related dashboards.
- Chứng chỉ chuyên môn (Certificates)
-Bắt buộc / Ưu tiên: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP (Certified Information Systems Security Professional), CISM, hoặc tương đương.
Required / Preferred: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP (Certified Information Systems Security Professional), CISM, or equivalent.
- Chứng chỉ bổ sung: CompTIA PenTest+, CompTIA CySA+, Certified Red Team Professional (CRTP), hoặc chứn gchỉ cloud security (AWS Security Specialty, Azure Security Engineer) sẽ là điểm cộng.
Additional certifications: CompTIA PenTest+, CompTIA CySA+, Certified Red Team Professional (CRTP), or cloud security certifications (AWS Security Specialty, Azure Security Engineer) would be a plus.
- Trình độ học vấn và kinh nghiệm
-Bằng cấp: Tốt nghiệp Đại học trở lên chuyên ngành Khoa học máy tính, Công nghệ thông tin, An ninh mạng,
Kỹ thuật máy tính hoặc tương đương.
Degree: University degree or higher in Computer Science, Information Technology, Network Security,
Computer Engineering or equivalent.
-Kinh nghiệm: Tối thiểu 2–5 năm kinh nghiệm làm Penetration Tester, Red Team, hoặc trong vai trò tương tự,
đã thực hiện kiểm thử lỗ hổng cho ứng dụng web, mạng, hạ tầng đám mây và môi trường DevSecOps.
Experience: Minimum 2–5 years of experience as a Penetration Tester, Red Team, or in a similar role,
performing vulnerability testing for web applications, networks, cloud infrastructure, and DevSecOps
environments.
- Kiến thức và kỹ năng chuyên sâu
-Công cụ kiểm thử xâm nhập: Thành thạo Metasploit, Nmap, Burp Suite Pro, Nessus, Wireshark, SQLmap, Hydra, Cobalt Strike và các công cụ pentest khác.
Penetration testing tools: Proficient in Metasploit, Nmap, Burp Suite Pro, Nessus, Wireshark, SQLmap, Hydra, Cobalt Strike and other pentest tools.
-Chương trình và scripting: Có kỹ năng lập trình hoặc scripting bằng Python, Bash, PowerShell, Ruby hoặc JavaScript để tự động hóa kiểm thử, phân tích log và khai thác lỗ hổng.
Programming and scripting: Programming or scripting skills in Python, Bash, PowerShell, Ruby or JavaScript to automate testing, log analysis and vulnerability exploitation.
- Kiến thức về mạng và hệ điều hành: Hiểu biết sâu về TCP/IP, HTTP/S, DNS,SSL/TLS, cấu trúc mạng LAN/WAN, Active Directory, và cách tấn công/khai thác trên các hệ điều hành Linux, Windows Server, Unix
Web Application Security: Nắm vững OWASP Top 10, hiểu rõ cách khai thác SQL Injection, XSS, CSRF, SSRF, file inclusion, authentication bypass và các kỹ thuật tấn công tầng ứng dụng khác.
Network and operating system knowledge: Deep understanding of TCP/IP, HTTP/S, DNS, SSL/TLS, LAN/WAN network structure, Active Directory, and how to attack/exploit on Linux, Windows Server, Unix operating systems.
Web Application Security: Master OWASP Top 10, understand how to exploit SQL Injection, XSS, CSRF, SSRF, file inclusion, authentication bypass and other application layer attack techniques.
- Cloud Security: Có kinh nghiệm kiểm thử hạ tầng đám mây (AWS, Azure, GCP), biết cách sử dụng công cụ như ScoutSuite, Prowler, CloudSploit để đánh giá bảo mật cloud.
Cloud Security: Experience in testing cloud infrastructure (AWS, Azure, GCP), know how to use tools such as ScoutSuite, Prowler, CloudSploit to assess cloud security.
- Red Team & Social Engineering: Có kinh nghiệm thực hiện Red Team assessments, spear-phishing, vishing, physical security testing và kỹ thuật social engineering khác để đánh giá con người và quy trình trong tổ chức. Red Team & Social Engineering: Experience performing Red Team assessments, spear-phishing, vishing, physical security testing and other social engineering techniques to evaluate people and processes within an organization.
- Phân tích log và SIEM: Sử dụng thành thạo công cụ SIEM (Splunk, ELK Stack, QRadar) để thu thập, phân tích và phát hiện các chỉ dấu tấn công (IoC), setup alerts và xây dựng dashboard liên quan đến an ninh.
Log analysis and SIEM: Proficient in using SIEM tools (Splunk, ELK Stack, QRadar) to collect, analyze and detect indicators of attack (IoC), set up alerts and build security-related dashboards.
- Chứng chỉ chuyên môn (Certificates)
-Bắt buộc / Ưu tiên: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP (Certified Information Systems Security Professional), CISM, hoặc tương đương.
Required / Preferred: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), CISSP (Certified Information Systems Security Professional), CISM, or equivalent.
- Chứng chỉ bổ sung: CompTIA PenTest+, CompTIA CySA+, Certified Red Team Professional (CRTP), hoặc chứn gchỉ cloud security (AWS Security Specialty, Azure Security Engineer) sẽ là điểm cộng.
Additional certifications: CompTIA PenTest+, CompTIA CySA+, Certified Red Team Professional (CRTP), or cloud security certifications (AWS Security Specialty, Azure Security Engineer) would be a plus.
Thông tin công ty & Phúc lợi
Salary and Benefits:
- Salary starting at $ 3000Net or higher, depending on the candidate's performance assessment.
Lương: từ $ Net hoặc cao hơn tuỳ theo năng lực trong quá trình phỏng vấn.
- Bonuses for holidays and Lunar New Year's Eve; Bonuses based on monthly/quarterly/yearly business results.
Thưởng các dịp lễ Tết; Thưởng theo kết quả kinh doanh hàng tháng/quý/năm.
- Daily meal allowance of $15 Net.
Hỗ trợ chi phí ăn uống mỗi ngày $15 Net.
- Sponsor 100% of VISA/Work Permit costs after the probationary period.
Hỗ trợ 100% chi phí làm VISA/Work Permit sau thời gian thử việc.
- Sponsor 100% of luxury apartment rental costs (located in the Central area next to BTS-MRT routes, with full amenities such as Super Mall, Swimming pool, Gym, Co-working space...)
Hỗ trợ 100% chi phí thuê căn hộ cao cấp (Khu trung tâm, có đầy đủ các tiện nghi Super Mall, Bể bơi, Gym, Co-working space...)
- 06 days per month of days off during the probationary period, 07 days per month as an official employee. Flexible choice of days off, allowed to accumulate them consecutively in 1 month.
06 ngày phép mỗi tháng trong thời gian thử việc và 07 ngày phép mỗi tháng khi là nhân viên chính thức. Được chọn ngày nghỉ linh hoạt, được phép dồn ngày nghỉ liên tục trong 1 tháng để nghỉ phép.
- Company-sponsored annual vacation benefit.
Chế độ du lịch/nghỉ mát hàng năm.
- Sponsor 100% of the costs of professional development courses relevant to the role (at the employee's
request), with no reimbursement required upon resignation.
Hỗ trợ 100% chi phí các khóa học nâng cao kiến thức chuyên môn liên quan đến công việc (Khi nhân viên có yêu cầu). Không yêu cầu bồi hoàn chi phí đào tạo khi nghỉ việc
- Professional – Dynamic – Equitable – Humane work environment.
Môi trường Chuyên nghiệp - Năng động - Công bằng
- Salary starting at $ 3000Net or higher, depending on the candidate's performance assessment.
Lương: từ $ Net hoặc cao hơn tuỳ theo năng lực trong quá trình phỏng vấn.
- Bonuses for holidays and Lunar New Year's Eve; Bonuses based on monthly/quarterly/yearly business results.
Thưởng các dịp lễ Tết; Thưởng theo kết quả kinh doanh hàng tháng/quý/năm.
- Daily meal allowance of $15 Net.
Hỗ trợ chi phí ăn uống mỗi ngày $15 Net.
- Sponsor 100% of VISA/Work Permit costs after the probationary period.
Hỗ trợ 100% chi phí làm VISA/Work Permit sau thời gian thử việc.
- Sponsor 100% of luxury apartment rental costs (located in the Central area next to BTS-MRT routes, with full amenities such as Super Mall, Swimming pool, Gym, Co-working space...)
Hỗ trợ 100% chi phí thuê căn hộ cao cấp (Khu trung tâm, có đầy đủ các tiện nghi Super Mall, Bể bơi, Gym, Co-working space...)
- 06 days per month of days off during the probationary period, 07 days per month as an official employee. Flexible choice of days off, allowed to accumulate them consecutively in 1 month.
06 ngày phép mỗi tháng trong thời gian thử việc và 07 ngày phép mỗi tháng khi là nhân viên chính thức. Được chọn ngày nghỉ linh hoạt, được phép dồn ngày nghỉ liên tục trong 1 tháng để nghỉ phép.
- Company-sponsored annual vacation benefit.
Chế độ du lịch/nghỉ mát hàng năm.
- Sponsor 100% of the costs of professional development courses relevant to the role (at the employee's
request), with no reimbursement required upon resignation.
Hỗ trợ 100% chi phí các khóa học nâng cao kiến thức chuyên môn liên quan đến công việc (Khi nhân viên có yêu cầu). Không yêu cầu bồi hoàn chi phí đào tạo khi nghỉ việc
- Professional – Dynamic – Equitable – Humane work environment.
Môi trường Chuyên nghiệp - Năng động - Công bằng