Especialista en Pruebas de APIs y Backend
1 VacantesSistemas en Santiago Centro, R.Metropolitana
- Salario: A convenir
- Categoría: Informática / Telecomunicaciones
- Subcategoría Sistemas
- Localidad: Santiago Centro
- Activo desde: 02/06/2025
- Jornada: Jornada de 44 horas semanales
- Tipo de Contrato: contrato a plazo fijo
- Cantidad de Vacantes: 1
- Educación Mínima: Universitaria / I.P. / C.F.T.
- Años de Experiencia: 5
Somos una Empresa de Servicios y Consultoría en el área de TI, con elevados estándares éticos, dispuestos a entregar la mejor y más eficiente atención a las necesidades de nuestros clientes.
Buscamos a un Especialista en Pruebas de APIs y Backend, para integrarse a un equipo de trabajo comprometido.
Rol principal:
Responsable de realizar pruebas de penetración específicas sobre los servicios de backend, enfocándose en la seguridad de las APIs REST y GraphQL, mecanismos de autenticación/autorización y manipulación de tokens/sesiones. Este perfil garantiza que la lógica de negocio expuesta a través de interfaces programáticas no presente vulnerabilidades críticas.
Responsabilidades técnicas específicas: Inventario y mapeo de endpoints
Descubrimiento y análisis de todas las APIs expuestas públicamente por SKY (REST y GraphQL).
Detección de rutas no documentadas, versiones antiguas activas, endpoints de prueba, etc.
Uso de técnicas como fuzzing, autodiscovery, revisión de Swagger/OpenAPI specs (si están disponibles).
Pruebas de autenticación y autorización (IDOR / BOLA / Broken Auth)
Verificación de controles de acceso por recurso, método y usuario.
Intentos de bypass mediante manipulación de tokens JWT, cambios en IDs numéricos o UUIDs.
Simulación de usuarios sin privilegios accediendo a datos sensibles (Insecure Direct Object Reference IDOR).
Pruebas de validación y control de entrada
Pruebas de inyecciones en campos JSON/XML.
Pruebas de parámetros maliciosos que puedan derivar en XSS, SQLi, SSTI, RCE o manipulación de lógica de negocio.
Ataques a GraphQL con introspección, over-fetching, batching y queries anidadas.
Manipulación de tokens, sesiones y cabeceras
Validación de tokens JWT firmados débilmente, sin expiración o con algoritmos inseguros (alg: none).
Pruebas de token replay, token theft, CSRF en APIs, y refresh token abuse.
Validación de seguridad en cookies de sesión: Secure, HttpOnly, SameSite.
Pruebas de rate limiting y DoS lógico
Evaluación de controles de throttling y mecanismos de protección contra abuso masivo de endpoints.
Identificación de operaciones críticas sin limitación de peticiones.
Pruebas de exposición de datos sensibles
Revisión de respuestas HTTP con campos innecesarios: password, internalId, debug, stack trace, etc.
Pruebas de filtrado insuficiente en queries o recursos.
Certificaciones recomendadas:
OSCP
eWPTX/eMAPT, APIsec Certified Professional, o Burp Suite Certified Practitioner
Dominio técnico:
Seguridad en APIs REST y GraphQL
Criptografía aplicada a tokens y sesiones
Conocimientos de OWASP API Security Top 10
Conocimiento de OpenID Connect, OAuth 2.0, y SSO en entornos móviles y web
Herramientas clave que debería dominar:
Burp Suite Pro (con extensiones para API Security)
Postman, Insomnia, GraphQL Voyager/Playground
JWT.io, jwt_tool, AuthMatrix, Autorize
ffuf, dirsearch, Kiterunner, Arjun para descubrimiento de parámetros
Scripts personalizados para automatización de payloads
Estudios:
Ingeniero en Informática- Desarrollador o carrera a fin con más de 5 años de experiencia
Habilidades blandas:
Facilidad en relacionarse con otros equipos técnicos
Trabajo en equipo
Empatía
Proactivo
Creatividad