Информационная безопасность — удалённая работа в Москве

Защитить: Обеспечение управляемого взаимодействия между заказчиками и исполнителями в части заказов на служебный транспорт по вызывной системе. Имеется мобильное приложение. Обеспечение управляемого взаимодействия между заказчиками и исполнителями в части заказов на служебный транспорт по вызывной системе. Имеется мобильное приложение. Тестирование проводится с ис- пользованием двух независимых методов — «чёрного ящика» (без доступа к системе) и «серого ящика» (с частичным доступом). Цель — выявление уязвимостей на различных уровнях взаимодействия с системами для минимизации рисков безопасности. Тестирование методом «Чёрный ящик» Объём работ включает: 1. Разведка и анализ поверхности атаки: o Идентификация точек входа, форм, API-эндпоинтов. o Анализ структуры приложений и технологического стека. 2. Проверка конфигураций и базовой защиты: o Аудит настроек HTTPS/SSL/TLS. o Проверка security-заголовков (CSP, HSTS, X-Frame-Options и др.). o Анализ публично доступной информации (метаданные, комментарии, версии ПО). 3. Поиск и верификация веб-уязвимостей (OWASP Top 10): o Инъекции: SQL, NoSQL, OS Command, LDAP. o Межсайтовый скриптинг (XSS), включая Reflected, Stored, DOM-based. o Подделка межсайтовых запросов (CSRF). o Небезопасные прямые ссылки на объекты (IDOR). o Ошибки аутентификации и обходы авторизации. o Локальное/удалённое включение файлов (LFI/RFI). o Небезопасные десериализации, XXE, SSRF. 4. Контроль безопасности проведения тестов: o Подтверждение уязвимостей без деструктивных воздействий. o Тестирование в рамках согласованного времени и без остановки сервисов. 3. Тестирование методом «Серый ящик» Вводные данные: • 1 учётная запись пользователя с правами рядового сотрудника. Объём работ включает: 1. Тестирование авторизованного функционала: o Анализ личного кабинета, пользовательских форм, API после входа. o Проверка механизмов сессий, токенов, повторной аутентификации. 2. Проверка контроля доступа и бизнес-логики: o Горизонтальная эскалация прав (доступ к данным других пользователей). o Вертикальная эскалация (попытки повышения привилегий в рамках web-интерфейса). o Анализ IDOR в контексте авторизованных операций. 3. Аудит документоориентированных сценариев: o Проверка операций с документами: загрузка, скачивание, изменение, удаление. o Анализ обработки вложений, ссылок, метаданных документов. o Исследование идентификаторов объектов на предсказуемость. 4. Безопасное подтверждение уязвимостей: o Все тесты выполняются в рамках выданной учётной записи. o Отсутствие вмешательства в работу других пользователей и систем. 4. Результаты работ По итогам тестирования (как «чёрного», так и «серого ящика») предоставляется: • Сводный отчёт, содержащий: o Таблицу всех обнаруженных уязвимостей с уровнем критичности. o Детальное описание каждой уязвимости: ? Классификация (CWE, OWASP). ? Оценка риска по шкале CVSS 3.1/4.0. ? Шаги воспроизведения с иллюстрациями. ? Рекомендации по устранению. o Итоговое заключение и рекомендации по приоритизации исправлений. 5. Методология и стандарты Работы проводятся в соответствии с: • OWASP Testing Guide (OTG) • OWASP Web Security Testing Guide (WSTG) • PTES (Penetration Testing Execution Standard) • NIST SP [Телефон скрыт] Продолжительность тестирования: 25 рабочих дней (с учётом глубины проверки и объёма тестируемых систем). Предоставление отчёта: в течение 5 рабочих дней после завершения анализа защищенности.