О проекте и цели аудита

Мы ищем опытного специалиста по информационной безопасности для проведения независимого аудита (пентеста) веб-приложения. Цель - выявить критические уязвимости в архитектуре, логике работы и взаимодействии с облачными сервисами, а также проверить реальный уровень защиты от атак.

Режим тестирования

• Black box / Grey box: Исполнитель работает от лица внешнего злоумышленника, получая ограниченный (или нулевой) доступ к исходному коду и внутренним системам.

Технологический стек и инфраструктура

• Базовый фреймворк: Laravel (PHP) - основная бэкенд-логика.
• Сервер и прокси: Nginx (High Performance Load Balancer).
• Виртуализация: Docker (консолидированная среда развертывания).
• Защита на периметре: Cloudflare (Web Application Firewall + CDN).
• API: RESTful интерфейсы для взаимодействия сервисов.

Основные направления проверки

Безопасность прикладной логики

• Уязвимости инъекций (SQLi (Л/И), LFI/RFI, XSS).
• Аутентификация и управление сессиями (CSRF, хрупкое восстановление паролей).
• Проблемы авторизации (IDOR, Privilege Escalation).
• Управление файлами (загрузка анпикчар, директоритраверал).

Конфигурация и инфраструктура

• Оценка политик доступа и безопасности Docker-контейнеров.
• Проверка отключения HTTP-методов и прав на сервере (Nginx).
• Анализ обхода WAF (Cloudflare) и скорость обнаружения подозрительной активности.

API

• Проверка лимитов API (rate-limiting).
• Безопасная передача аргументов (token/query body).

Ожидаемый результат

• Докладе & Презентация угроз: подробный текстовый отчет с цветосюзами VTScore и доказательствами эксплуатации.
• Вектор: Clear выданное заключение по метрикам OVA, или демонстрация атаки PoC в случае ее удачного завершения педлож х одному сотруднику безопасности.

Откликнемся на заявки от проверенных специалистов со стажем 7+ лет в тематике пентестов.