Yehor Ulianov

Offensive Security Consultant • Web Application Pentester

Security professional specializing in web application penetration testing, with hands-on experience across OWASP WSTG coverage assessments, perimeter testing, and physical security engagements. Currently leading projects end-to-end at r-tec IT Security GmbH - from kickoff meetings and scoping through testing to final report delivery and client presentations. Background in CTFs, bug bounty, and offensive security research. Always breaking things, preferably before someone else does.


work_experience

Web Application Pentester r-tec IT Security GmbH, Germany
Jan 2025 - present
  • Led 50+ web application and perimeter penetration testing projects end-to-end across healthcare, utilities (Stadtwerke), IT, and other DACH-region companies

  • Performing thorough WSTG-based assessments across complex multi-tenant SaaS platforms, APIs, and legacy enterprise applications

  • Conducting perimeter/infrastructure penetration tests against client-facing attack surfaces

  • Executing physical security assessments

  • Developing internal tooling and automation for recurring assessment workflows

  • Performing source code reviews and whitebox assessments alongside black/greybox testing

  • Delivering reports and presentations in both German and English

  • Conducting retests with actionable remediation guidance for development teams

  • Teaching the whole team about weird web attack surfaces and techniques

System Administrator Kharkiv National University of Radioelectronics, Ukraine
Dec 2021 - Feb 2023
  • Managed Windows Active Directory infrastructure - user provisioning, group policies, organizational units

  • Designed and deployed a Raspberry Pi-based Kubernetes cluster for the department

  • Built and maintained an OWASP-based pentesting sandbox environment for cybersecurity students


certifications

OSWA
OffSec Web Assessor Offensive Security (OffSec)
2025
eJPT
Junior Penetration Tester INE Security
2023

education

Visiting Student - IT & Cybersecurity Karlsruhe Institute of Technology (KIT), Germany
Oct 2023 - Oct 2024
  • Attended IT and cybersecurity lectures as a visiting student while deepening German language proficiency for professional use

German Language Course - C1 / DSH-2 Level Heidelberg University, Germany
Jun 2022 - Aug 2023
Bachelor of Cybersecurity: Information Technologies Security Incomplete - interrupted by war Kharkiv National University of Radio Electronics, Ukraine
Sep 2020 - Feb 2022

skills

offensive

  • Web Application Pentesting (WSTG)
  • API Security Testing (REST, GraphQL)
  • Perimeter / Infrastructure Pentesting
  • Physical Security Assessments
  • OSINT & Reconnaissance
  • Browser Exploitation
  • Source Code Review

technical

  • Burp Suite Pro
  • Python, Bash, PowerShell
  • Linux & Windows Administration
  • Docker / Kubernetes
  • Git & CI/CD Pipelines
  • LLM-Assisted Testing Workflows

soft

  • Project Lead
  • Technical Report Writing
  • Client Communication
  • Internal Training & Knowledge Sharing

projects

NineTailedF0x Security Blog blog.ninetailedf0x.com
public
  • Personal blog covering web application security, AI in pentesting, and opinionated takes on the industry

LLM-Automated WSTG Pentesting Workflow
internal
  • Custom workflow integrating local and cloud LLMs into structured WSTG-coverage assessments, automating reconnaissance, test case generation, and reporting

Custom C2 Framework
internal
  • Custom C2 framework exploring unconventional persistence and post-exploitation techniques on Windows targets - built as an offensive security research project


languages

Ukrainian
Native
Russian
Native
English
C1
German
C1

interests

  • CTFs
  • Bug Bounty
  • Open Source Security Tooling
  • Writing about things that annoy me

Security-Spezialist mit Schwerpunkt Web Application Penetration Testing und praktischer Erfahrung in OWASP-WSTG-Assessments, Perimetertests und Physical-Security-Engagements. Derzeit verantwortlich für die eigenständige Durchführung von Projekten bei r-tec IT Security GmbH - von Kickoff-Meetings und Scoping über Testing bis hin zur Berichterstellung und Kundenpräsentation. Hintergrund in CTFs, Bug Bounty und Offensive Security Research. Immer am Kaputtmachen - am liebsten bevor es jemand anderes tut.


berufserfahrung

Web Application Pentester r-tec IT Security GmbH, Deutschland
Jan 2025 - heute
  • Eigenverantwortliche Durchführung von über 50 Web-Application- und Perimeter-Penetrationstests für Unternehmen aus den Bereichen Gesundheitswesen, Stadtwerke, IT und weiteren DACH-Branchen

  • Durchführung umfassender WSTG-basierter Assessments komplexer Multi-Tenant-SaaS-Plattformen, APIs und Legacy-Enterprise-Anwendungen

  • Perimeter-/Infrastruktur-Penetrationstests gegen externe Angriffsflächen

  • Durchführung von Physical-Security-Assessments

  • Entwicklung interner Tools und Automatisierung wiederkehrender Assessment-Workflows

  • Source-Code-Reviews und Whitebox-Assessments neben Black-/Greybox-Tests

  • Erstellung von Berichten und Präsentationen auf Deutsch und Englisch

  • Durchführung von Retests mit konkreten Handlungsempfehlungen für Entwicklungsteams

  • Wissenstransfer im Team zu ungewöhnlichen Web-Angriffsvektoren und -techniken

Systemadministrator Nationale Universität für Radioelektronik Charkiw, Ukraine
Dez 2021 - Feb 2023
  • Verwaltung der Windows Active Directory Infrastruktur - Benutzerverwaltung, Gruppenrichtlinien, Organisationseinheiten

  • Konzeption und Aufbau eines Raspberry-Pi-basierten Kubernetes-Clusters für die Abteilung

  • Aufbau und Pflege einer OWASP-basierten Pentesting-Sandbox für Studierende der Cybersicherheit


zertifizierungen

OSWA
OffSec Web Assessor Offensive Security (OffSec)
2025
eJPT
Junior Penetration Tester INE Security
2023

ausbildung

Gaststudent - IT & Cybersicherheit Karlsruher Institut für Technologie (KIT), Deutschland
Okt 2023 - Okt 2024
  • Besuch von IT- und Cybersicherheitsvorlesungen als Gaststudent bei gleichzeitiger Vertiefung der Deutschkenntnisse für den beruflichen Einsatz

Deutschkurs - C1 / DSH-2 Niveau Universität Heidelberg, Deutschland
Jun 2022 - Aug 2023
Bachelor Cybersicherheit: IT-Sicherheit Unvollständig - kriegsbedingt unterbrochen Nationale Universität für Radioelektronik Charkiw, Ukraine
Sep 2020 - Feb 2022

kenntnisse

offensiv

  • Web Application Pentesting (WSTG)
  • API Security Testing (REST, GraphQL)
  • Perimeter-/Infrastruktur-Pentesting
  • Physical Security Assessments
  • OSINT & Reconnaissance
  • Browser Exploitation
  • Source Code Review

technisch

  • Burp Suite Pro
  • Python, Bash, PowerShell
  • Linux- & Windows-Administration
  • Docker / Kubernetes
  • Git & CI/CD Pipelines
  • LLM-gestützte Testing-Workflows

soft skills

  • Projektleitung
  • Technische Berichterstellung
  • Kundenkommunikation
  • Interne Schulungen & Wissenstransfer

projekte

NineTailedF0x Security Blog blog.ninetailedf0x.com
öffentlich
  • Persönlicher Blog über Web Application Security, KI im Pentesting und Meinungsbeiträge zur Branche

LLM-automatisierter WSTG-Pentesting-Workflow
intern
  • Eigener Workflow zur Integration lokaler und cloudbasierter LLMs in strukturierte WSTG-Assessments mit automatisierter Reconnaissance, Testfallgenerierung und Berichterstellung

Custom C2 Framework
intern
  • Eigenentwickeltes C2-Framework zur Erforschung unkonventioneller Persistence- und Post-Exploitation-Techniken auf Windows-Zielsystemen - als Offensive-Security-Forschungsprojekt


sprachen

Ukrainisch
Mutter.
Russisch
Mutter.
Englisch
C1
Deutsch
C1

interessen

  • CTFs
  • Bug Bounty
  • Open Source Security Tooling
  • Schreiben über Dinge, die mich nerven