Caro usuário, habilite o javascript para que esse site funcione corretamente.

Offensive Security Engineer

CLT (Efetivo)Presencial (Local)VIPSão Paulo-SPEmpresa Confidencial (Cadastre-se)

* Salário: R$ 2.000 a R$ 5.000 por mês (estimado)

* O valor exibido é uma estimativa calculada com base em dados públicos e referências do mercado. Não garantimos que este seja o salário oferecido para esta vaga específica.

Área: Outros

Nível: Junior

Sobre a Confidencial (Apenas para Cadastrados)

Somos uma empresa global de tecnologia especializada em aplicações e segurança digital. Nossa plataforma ajuda empresas a operar com mais agilidade, reduzindo o tempo de resposta e aumentando a confiabilidade de seus sistemas.

Na Confidencial (Apenas para Cadastrados), nosso propósito é simplificar a construção de aplicações e transformar o futuro com tecnologia de ponta. Aqui, você terá a chance de se desenvolver em um ambiente inovador, ao lado de um time de alta performance, atuando em desafios reais e criando soluções que fazem a diferença.

Sobre o Cargo

O Offensive Security Engineer lidera avaliações ofensivas e simulações adversariais para identificar caminhos de ataque reais antes que sejam explorados. A posição executa testes de invasão em aplicações, APIs, infraestrutura, cloud e identidade, valida o impacto das vulnerabilidades com exploração controlada e transforma os achados em recomendações acionáveis. O profissional atua em estreita parceria com AppSec, Infrastructure Security, Security Operations e Engenharia, sempre sob regras de engajamento formais, com foco em evidência, segurança operacional e validação das correções.

Principais Desafios

  • Programa de Segurança Ofensiva: planejar e executar um calendário de avaliações baseado em risco, definindo escopo, objetivos, regras de engajamento, critérios de sucesso e tratamento seguro de evidências;
  • Testes de Aplicações Web e APIs: realizar pentests manuais e apoiados por ferramentas em aplicações web, APIs REST e GraphQL, cobrindo autenticação, autorização, lógica de negócio, sessão, injeções e abuso de funcionalidades;
  • Testes de Infraestrutura, Cloud e Identidade: identificar e explorar de forma controlada caminhos de ataque em redes, Linux, Windows, AWS, Azure ou GCP, Kubernetes e provedores de identidade como Entra ID, Okta ou Active Directory;
  • Red Team e Emulação de Adversários: conduzir exercícios orientados por objetivos e inteligência de ameaças, mapeados ao MITRE ATT&CK, para avaliar exposição, prevenção, detecção e resposta de ponta a ponta;
  • Validação de Exploração: demonstrar impacto real sem comprometer disponibilidade, confidencialidade ou integridade, mantendo rastreabilidade, limites de segurança, plano de interrupção e limpeza pós-teste;
  • Relatórios e Reteste: produzir evidências reproduzíveis, descrever causa raiz, impacto e cenários de abuso, propor correções práticas e confirmar a efetividade das remediações;
  • Automação e Tooling: desenvolver e manter ferramentas para reconnaissance, enumeração, validação de vulnerabilidades e consolidação de evidências utilizando Python, Bash, PowerShell ou Go;
  • Purple Team e Validação de Controles: trabalhar com Security Operations para converter técnicas ofensivas em casos de teste, medir cobertura de telemetria e detecção e acompanhar a correção das lacunas;
  • Gestão de Avaliações Externas: apoiar o escopo de pentests conduzidos por terceiros, triar achados de bug bounty e canais de responsible disclosure e garantir consistência na severidade e no acompanhamento.

Requisitos Mínimos

  • Experiência comprovada conduzindo pentests de ponta a ponta, desde o escopo e reconhecimento até exploração controlada, reporte e reteste;
  • Conhecimento aprofundado de segurança de aplicações web e APIs, incluindo OWASP Top 10, OWASP API Security Top 10, autenticação, autorização e falhas de lógica de negócio;
  • Conhecimento sólido de Linux, Windows, redes e identidade: TCP/IP, DNS, TLS, firewalls, proxies, Active Directory e controles de acesso;
  • Experiência prática avaliando pelo menos um grande provedor de nuvem (AWS, Azure ou GCP) e ambientes de containers ou Kubernetes;
  • Domínio de ferramentas como Burp Suite, Nmap, Wireshark e frameworks de exploração, com capacidade de validar achados manualmente e encadear vulnerabilidades;
  • Proficiência em Python, Bash, PowerShell ou Go para automação, desenvolvimento de ferramentas e adaptação de provas de conceito;
  • Familiaridade com MITRE ATT&CK, PTES, NIST 800-115, CWE e CVSS, além de práticas de coleta e proteção de evidências;
  • Comunicação escrita e verbal clara, julgamento ético e disciplina para atuar somente dentro de autorização e escopo formais;
  • Graduação em área técnica ou experiência prática equivalente.

Qualificações Desejáveis

  • Certificações ofensivas como OSCP, OSEP, OSWE, CRTO, CRTP, GXPN ou equivalentes;
  • Experiência em Red Team, Purple Team ou emulação de adversários orientada por inteligência de ameaças;
  • Conhecimentos de desenvolvimento de exploits, engenharia reversa, análise de binários ou evasão de controles;
  • Contribuições públicas, como CVEs, ferramentas open source, pesquisas, palestras ou histórico relevante em programas de bug bounty;
  • Experiência com edge computing, CDN, WAF e proteção de APIs em alta escala;
  • Familiaridade com segurança mobile, supply chain, CI/CD ou aplicações com LLMs.

Benefícios & Confidencial (Apenas para Cadastrados) Way of Life

  • Modelo de contratação CLT;
  • Plano de saúde e odontológico;
  • VR e VA flexível (Cartão Flash), inclusive em período de férias;
  • Vale-transporte sem desconto em folha;
  • Hackathons anuais internos;
  • Auxílio mobilidade (valor adicional para deslocamento);
  • Freestyle (incentivo para customização da estação de trabalho);
  • Stock options (conforme política);
  • Birthday day off;
  • TotalPass;
  • Horário de trabalho flexível (flexível mesmo);
  • Programa Nômade para trabalhar de onde quiser por até 30 dias no ano (conforme política);
  • Programa de Intercâmbio internacional anual.

Modelo FlexWork

Oferecemos um modelo de FlexWork que prioriza o aculturamento e a colaboração. Nos primeiros três meses, você trabalhará on-site no escritório local, uma etapa essencial para construir relacionamentos sólidos e uma conexão genuína com nossos valores e objetivos. Acreditamos que essa imersão inicial não só fortalece a equipe, mas também impulsiona a criatividade e a inovação.

Após esse período, você terá a possibilidade de aplicar para o modelo híbrido, trabalhando presencialmente pelo menos três vezes por semana. Essa abordagem equilibra a interação presencial e a autonomia, criando um ambiente de trabalho dinâmico e produtivo.

Na Confidencial (Apenas para Cadastrados), todas as candidaturas são bem-vindas, independentemente de gênero, orientação sexual, idade, gravidez, deficiência, etnia, cor, país de origem ou religião. Acreditamos que um ambiente inclusivo contribui para o nosso sucesso e que o respeito está presente em todas as nossas relações.

Venha fazer parte da nossa equipe! Estamos ansiosos para conhecê-lo e trilhar juntos um caminho de sucesso na tecnologia!