Техническое задание: Аудит безопасности и защита от злоупотреблений для интеграции с API ФНС

Суть проблемы

В существующем веб-приложении, которое обращается к API Федеральной налоговой службы (ФНС), обнаружена активность злоумышленников. Они нашли способ обходить установленные лимиты на использование API, что создает риски для стабильности сервиса и влечет потенциальные финансовые и репутационные потери. Необходимо выявить вектор атаки и закрыть уязвимость.

Задачи для специалиста

• Провести анализ текущей архитектуры приложения и механизмов взаимодействия с API ФНС.
• Выявить неизвестный способ (вектор), который используют злоумышленники для обхода лимитов и совершения злоупотреблений (абуза).
• Разработать и предложить техническое решение для блокировки найденного вектора атаки.
• Внедрить и протестировать систему антиабуз-защиты, которая надежно ограничивает несанкционированные запросы к API.
• Обеспечить, чтобы новые механизмы защиты не нарушали работу легитимных пользователей.

Требования к компетенциям

• Опыт в прикладной безопасности веб-приложений.
• Глубокие знания в области построения систем защиты от злоупотреблений (anti-abuse).
• Понимание принципов работы с внешними API, ограничениями и лимитами.
• Умение проводить расследование инцидентов и анализ логики приложения для поиска уязвимостей.

Ожидаемый результат

Устранение уязвимости, позволяющей обходить лимиты ФНС, и внедрение устойчивого механизма защиты, который предотвратит подобные атаки в будущем. Предоставление отчета о проделанной работе.