Аудит безопасности закрытой страницы
Проверить парольную защиту на уязвимости. Выявить и описать найденные ошибки.
Почему аудит безопасности — не просто галочка, а страховка вашего бизнеса
Утечка данных или взлом сайта могут стоить не только репутации, но и всех сбережений. Качественный аудит информационной безопасности — это системная проверка, которая выявляет уязвимости до того, как их найдут злоумышленники. Мы разобрали десятки предложений на бирже и создали подробный гайд, который поможет заказчикам выбрать настоящего профессионала, а фрилансерам — выгодно упаковать свои услуги.
Классификация услуг: от простого сканирования до редких спецзадач
- Базовый пентест (Pentest): автоматизированное сканирование, поиск уязвимостей нулевого дня, SQL-инъекций, XSS. Стоит недорого, подходит для типовых решений на CMS.
- Глубокий анализ кода (Code Review): ручная проверка бэкенда, бизнес-логики, API. Рекомендуется для стартапов и финтеха.
- Аудит конфигураций (Config Review): проверка настроек серверов, баз данных, облачных сервисов (AWS, Google Cloud) на соответствие стандартам CIS.
- Социальная инженерия (Social Eng): тесты фишинга, звонки с отработанным сценарием, проверка человеческого фактора.
- OSINT / Threat Intelligence: сбор данных из открытых источников, проверка утечек сотрудников, поиск «теневого» IT.
- Аудит на соответствие (Compliance): подготовка к прохождению сертификаций (PCI DSS, ISO 27001, 152-ФЗ, GDPR).
- Криптографический аудит: проверка корректности реализации шифрования, SSL/TLS, работа с ключами.
- Мобильная безопасность: анализ APK/iOS приложений, реверс-инжиниринг, проверка логики платежей и авторизации.
Совет: почти все эти услуги можно заказать по отдельности или в виде комплексного пакета. Уточняйте, включены ли повторные проверки после исправления уязвимостей.
Инструкция для заказчика
Как составить ТЗ (техническое задание), чтобы результат оправдал ожидания
Плохое ТЗ — причина 80% неудачных проектов на фрилансе. Чёткое описание системы помогает фрилансеру оценить объём работ точнее. Обязательно укажите:
- Тип приложения: одностраничный сайт, SPA, веб-сервис с авторизацией, CMS, мобильное приложение или API.
- Стек технологий: язык (Python, PHP, Go), фреймворки (Laravel, Django, Spring), БД, сервер (Nginx/Apache), CI/CD пайплайны.
- Уровень доступа: предоставляете ли вы тестовый стенд, исходный код, админские роли? Или нужен black-box аудит только по URL?
- Пожелания по методологии: хотите реальную эксплуатацию уязвимости (Proof of Concept) или только отчёт с рекомендациями?
- Бюджет и сроки: укажите верхнюю границу в часах и желаемые даты.
- Степень «шума»: можно ли фрилансеру использовать автоматические сканеры (например, Burp Suite Active Scan) в бою? Готовы ли вы к потенциальным падениям (правка .htaccess не критична, а DROP TABLE уже хуже)?
| Параметр проверки | Идеальный кандидат (бал: 5) | Проходной балл (3-4) | Пропустить (0-2) |
|---|---|---|---|
| Наличие сертификатов (OSCP, OSWE, CISA) | Есть 2+ действующих серта | Есть один | Нет профильного обучения |
| Портфолио с кейсами по вашему стеку | есть подробный разбор аналогичного проекта с описанием уязвимостей | есть однотипные сайты на WordPress/Joomla | скриншоты без внятного описания |
| Отзывы за последние 6 месяцев | 10+ заказов с высокой оценкой и комментариями | есть пара упоминаний в «Благодарностях» | регистрация на бирже 1-2 недели назад |
| Предоставляемый формат результата | подробный PDF/Word + недельная поддержка по ПО | только PDF с таблицами | просто выгрузка из сканера |
| Условия повторной проверки | 2 недели бесплатно после фикса | 1 повтор – 30% от бюджета | повторный аудит за полную стоимость |
| Услуга | Бюджет например (₽) | Диапазон часов | Типовой срок |
|---|---|---|---|
| Базовое сканирование (WordPress/Shopify) | 10 000 – 25 000 | 8-16 ч | 2-3 дня |
| Пентест корпоративного портала (Java+Postgres) | 65 000 – 150 000 | 40-80 ч | 1-2 недели |
| Code Review бэкенда (3000 строк) | 40 000 – 90 000 | 20-40 ч | 5-7 дней |
| Аудит (на STD, PCI DSS) | 100 000+ | по договорённости | 4-8 недель |
| Пентест мобильного приложения | 120 000+ | 60+ ч | 2-3 недели |
| Red Team (все кроме социальной инженерии) | 50000+ | 10-12ч | выходные |
* Цены указаны для физ. лиц и small business. Enterprise-проекты обсуждаются отдельно.
Инструкция для фрилансера
Как оформить портфолио, чтобы сразу показать уровень
На бирже вы обязаны доказать экспертизу за 30 секунд. Используйте шаблон уверенного профиля:
- Название в профиле: [Специализация] / [Стаж], пример: «Специалист по пентесту web (от 3 лет) / OSCP». Избегайте общих фраз.
- Презентация услуг: Опишите методологию работы (черный ящик? белый?). Приведите схему: Scope Analysis → Discovery → Vulnerability Assessment → Exploitation → Reporting (с PoC).
- Кейс разбора №1: в формате «Была задача: ... / Исходные данные: ... / Найдено: RCE в parser чужого печатного модуля (critical), 3 high. / Метод эксплуатации: XXE-race condition. / Результат: закрыли за сутки». Добавьте небольшой сниппет кодаили зафилаченного CVE, если разрешено.
- Технический микро-бенч: скриншоты, таблицы, график спада времени исправлений — это больше доверия.
Таблица расчета ставки
| Фактор стоимости | Варианты (корректировка ▲/▼) | Коэф. влияния |
|---|---|---|
| комплексность (количество поддоменов/эндпоинтов) | 1-20 = баз / 30+ (×1.5) / 60+ / (×2) | 0-100% наценка |
| Сложность приложения (монолит / микросервисы) | стандарт +30% за микросервис | 30-50% |
| Необходимость тестов социальной инженерии | простой call-phishing = + 30% звонок+спецсценарий для работников | 0(за доплату) |
| Наличие API/Automation pipeline | Integration test not included / heavy API = +60-80% к времени | 70% |
| Anonymity / SLA | подписываем NDA? Если да, стоимость растёт +10-15% | 15% |
| Экстренный 3 раза прайс «Urgent - same week» | ставим K 2-3× | multiplication |
Список must-have инструментов и примерная цена сертификации
- Kali Linux / ParrotOS — базовая ОС.
- Burp Suite Professional ($449/год) для всего HTTP-aнализа.
- Nuclei / OpenVAS; HakuShite («скроёный» русский сканер со слов разработчиков из OPMOS за пару BTC не берём). На самом деле лучшие open source + хронящий ваш NFS трафик.
- Metasploit / Empire ещё для многих windows‑уязвимостей.
- Сертификация: CompTIA Security+ (до $225) или Offensive Security (OSCP / $999).
- Postman или подобное ( $0~ use также Karate).
Тренды и аналитика
Как изменилась биржа за последние 3 года? Спрос на пентест вырос на 300% по статистике нашей выборки за 2024. Заказчики хотят не просто «галочку», а реальные выявление и сценарии атак. Топ-5 причин обратиться к фрилансеру вместо студии: гибкие цены, узкая специализация «веб / вэбчат-радиоперехват», более высокая скорость коммуникации, легко NDA.
Трих классов ошибочки: практический кейс-вагон
| Тип возникшей ситуации непрофи своего нишS | Как лишение всё портит
Сохранено
|
|---|