• Thực hiện kiểm thử xâm nhập (Pentest) cho Ứng dụng Web, API/Mobile App, hệ thống mạng, server, cloud (Theo phạm vi dự án). 
• Tham gia các hoạt động: Vulnerability Assessment & Penetration Testing (VA/PT); Internal/ External/ Blackbox/ Greybox testing. 
• Phân tích, khai thác và đánh giá mức độ ảnh hưởng của lỗ hổng bảo mật. 
• Viết báo cáo pentest: Mô tả lỗ hổng, Bằng chứng khai thác (PoC), Đánh giá mức độ rủi ro, Đề xuất biện pháp khắc phục. 
• Phối hợp với: 
  • Dev/DevOps/IT team của khách hàng để hỗ trợ fix lỗi; 
  • Technical team trong các hoạt động audit, tư vấn giải pháp cho khách hàng. 
• Cập nhật kiến thức về: Lỗ hổng mới (OWASP, CVE), Kỹ thuật tấn công & phòng thủ.

•  Có từ 1 đến 4 năm kinh nghiệm trong lĩnh vực: Pentest, Application Security, API Security. 
• Hiểu rõ: OWASP Top 10, Các lỗ hổng Web phổ biến: SQLi, XSS, CSRF, IDOR… 
• Có kinh nghiệm sử dụng các công cụ: Burp Suite, Nmap, Metasploit...(Hoặc tương đương). 
• Hiểu cơ bản về: REST API, Windows, Linux, Networking (TCP/IP, DNS). 
• Có khả năng viết báo cáo kỹ thuật rõ ràng, logic. 
• Có kiến thức về Cloud security (AWS/Azure/GCP), Docker/Kubernetes, AI là một lợi thế. 
• Có ít nhất một trong các chứng chỉ sau: CEH, eJPT, OSCP, CompTIA PenTest+ 

Kỹ năng mềm

• Tư duy phân tích, logic tốt. 
• Chủ động học hỏi, cập nhật kỹ thuật mới. 
• Giao tiếp tốt với khách hàng, team kỹ thuật và không kỹ thuật. 
• Tuân thủ đạo đức nghề nghiệp và bảo mật thông tin.