Budżet: 8000 UAH Termin: 5 dni
Dzień dobry. To dość ciekawe zadanie, z przyjemnością je wykonam.
Rola i zadania specjalisty
Cel: Przeprowadzenie głębokiego ręcznego audytu aplikacji internetowej i infrastruktury, od których automatyczne skanery (Omni-Scanner) uzyskały początkowe wskazówki, lub tych celów, gdzie automatyka nie radzi sobie z powodu skomplikowanej ochrony (WAF, Captcha, logika aplikacji).
Główny zasad: Ludzka intuicja. Specjalista powinien szukać luk w logice biznesowej, łańcuchów exploitów (chaining vulnerabilities) i przeprowadzać niestandardowe ataki, niedostępne dla botów. Szczegóły tutaj https://docs.google.com/document/d/18dYMA5LvrTEf8Lx1WNKe3ZpJ0JMlzKVKhv0ou2fSZus/edit?tab=t.0
Budżet: 8000 UAH Termin: 5 dni
Dzień dobry. To dość ciekawe zadanie, z przyjemnością je wykonam.
Budżet: 8000 UAH Termin: 2 dni
Witam, posiadam wszystkie niezbędne kompetencje - zarówno techniczne, jak i ekonomiczne. Chętnie pomogę jak najszybciej.
Budżet: 8000 UAH Termin: 1 dzień
Witam! Kategorie w zamówieniu zostały podane nie do końca poprawnie (klasyczny QA lub inżynier danych tutaj nie pomogą), potrzebny jest czysty specjalista ds. bezpieczeństwa aplikacji / pentest. Automatyczne skanery, takie jak Omni-Scanner, są dobre do wyszukiwania zapomnianych wersji oprogramowania lub domyślnych konfiguracji, ale są całkowicie ślepe, jeśli chodzi o logikę aplikacji i niestandardowe zasady WAF. Moja główna specjalizacja to ręczna analiza i luki logiczne: Luki w logice biznesowej (Business Logic Flaws): Szukam luk w logice działania koszyka, systemów płatności, podmiany ID (IDOR), omijania ograniczeń (Rate Limit / Captcha) i warunków wyścigu (Race Conditions), których automatyka fizycznie nie jest w stanie symulować. Łączenie luk (Vulnerability Chaining): Nie tylko rejestruję niskie błędy, ale rozwijam je w łańcuchy. Na przykład, z niegroźnej Self-XSS przez CSRF lub podmianę nagłówków przeprowadzam na pełne przejęcie konta (Account Takeover) lub SSRF/RCE. Omijanie mechanizmów ochronnych: Mam doświadczenie w analizie logiki WAF (zarówno chmurowych, jak i niestandardowych modułów), wyszukiwaniu "szarej strefy" w parsowaniu żądań (HTTP Request Smuggling, SQLi przez filtry, omijanie autoryzacji przez nagłówki takie jak X-Forwarded-For). Dokument z linku przeanalizowałem. Jestem gotów przeprowadzić jakościowy audyt black-box/gray-box, sprawdzić wskazówki z waszego skanera i dostarczyć szczegółowy raport (RTF) według klasyfikacji OWASP Top 10 z dokładnym opisem PoC (Proof of Concept) i rekomendacjami dotyczącymi naprawy (Remediation). Budżet w wysokości 8000 UAH jestem gotów rozważyć jako startowy do oceny krytycznego zakresu. Proponuję skontaktować się na prywatnej wiadomości, omówić architekturę aplikacji webowej (stekt, obecność API) i określić dokładne ramy projektu (Scope). Pozdrawiam!
Budżet: 8000 UAH Termin: 5 dni
Cześć!
Mam doświadczenie w manualnym QA oraz testowaniu złożonej logiki aplikacji internetowych.
Skupię się na:
wyszukiwaniu luk w logice biznesowej,
niestandardowych scenariuszach i omijaniu ograniczeń,
budowaniu łańcuchów luk,
sprawdzaniu autoryzacji, praw dostępu oraz walidacji danych.
Na wyjściu:
ustrukturyzowany raport z lukami (opis, kroki reprodukcji, wpływ),
priorytetyzacja ryzyk,
zalecenia dotyczące poprawek.
Jestem gotowy zapoznać się z TŻ i omówić szczegóły.
Budżet: 8000 UAH Termin: 5 dni
Witam! Zrobię ręczną analizę. Wykonam Twoje zadanie szybko i jakościowo.
Moje ostatnie prace
https://florist-map.vercel.app
https://indexfast.pp.ua
https://monitortest.pp.ua
https://mamamia.pp.ua
Moje portfolio: https://freelancehunt.com/ua/freelancer/romas6ka.html#portfolio
Pisz, zacznę pracować dzisiaj. Będę zadowolony ze współpracy z Tobą!
Budżet: 27000 UAH Termin: 7 dni
mamy już praktycznie gotowy proces ręcznego audytu aplikacji internetowych i infrastruktury, który można szybko dostosować do Twoich celów i rozpocząć w ramach giełdy, jestem w kontakcie ))
W kwestii budżetu - 8000 UAH, wydaje się, że wystarczy tylko na krótką wstępną ręczną kontrolę 1-2 punktów, a głęboki audyt L2/L3 według Twojego dokumentu oceniłbym na od 35000 UAH za 7 dni.
Zobacz, jest tu niuans - przed jakimikolwiek kontrolami potrzebne są pisemne prawa na testowanie, lista domen lub IP, limity obciążenia i zakazane działania, w przeciwnym razie można przypadkowo zrobić nie audyt, a przygodę dla prawników.
Zrobiłbym to prościej - najpierw sprawdzamy rozpoznanie, logikę biznesową, sesje, role, CMS i krytyczne punkty skanera, potem oddajemy raport z ryzykiem, reprodukcją i priorytetami poprawek.
> proszę sprecyzować, ile celów wchodzi w pierwszy etap i czy jest oddzielne środowisko testowe
> czy trzeba tylko znaleźć luki, czy również sprawdzić poprawki po przeróbkach
> https://business.ingello.com/platforma - podobne doświadczenie w zakresie ról korporacyjnych, procesów i praw dostępu
> https://business.ingello.com/lita - projekt z wrażliwymi danymi i surowymi scenariuszami dostępu
> https://systems-fl.ingello.com - kim jesteśmy i jakie projekty systemowe realizujemy
jeśli ustaliliśmy granice, można ostrożnie przystąpić do pracy - bez hałasu, bez zbędnej heroiki, ale z normalnym inżynieryjnym podejściem ))
Budżet: 8000 UAH Termin: 3 dni
Dzień dobry! Jestem gotów przeprowadzić dogłębną ręczną audyt bezpieczeństwa aplikacji internetowej i infrastruktury. Używając intuicji i niestandardowych podejść, zidentyfikuję luki w logice biznesowej i łańcuchach exploitów, niedostępne dla automatycznych skanerów. Posiadam doświadczenie w pracy z WAF, Captcha, skomplikowaną logiką aplikacji oraz zaawansowanymi technikami testowania. Skontaktuj się w celu omówienia szczegółów.
O firmie Firma handlowa. Pracujemy z grupą towarową liczącą ponad 2000 pozycji w różnych kategoriach.Aktualna sytuacja Obecnie nomenklatura jest prowadzona w Google Sheets — dane są skonsolidowane według zakładek (kategorii). Struktura zakładek: Nazwa towaru Grupy cen: koszt własny, hurt, detal Charakterystyki: waga, ilość w opakowaniu itd. Ważne: liczba kolumn różni się w zależności od kategorii towarów, ponieważ mają one różne charakterystyki.Dlaczego obecne rozwiązanie nie jest odpowiednie Google Sheets nie pozwala na ustawienie praw dostępu na poziomie poszczególnych kolumn. Potrzebujemy: Przyznawania użytkownikom praw do wyświetlania określonych kolumn (na przykład tylko kosztów własnych) Przyznawania praw do edycji określonych kolumn (na przykład cen detalicznych) Ograniczenia dostępu do pozostałych kolumn w tej samej zakładceCo należy zrobićPodstawowe wymagania Elastyczny system rozgraniczenia praw Dostęp na poziomie poszczególnych kolumn (odczyt / zapis) Przydzielanie praw według ról lub użytkowników Zarządzanie prawami bez udziału programistów Wsparcie dla różnych struktur danych Różne kategorie towarów mają różny zestaw charakterystyk Dodawanie nowych kolumn/charakterystyk bez programowania Niepodległość od programistów Administracja przez wewnętrznych pracowników Dodawanie kategorii, kolumn, użytkowników — przez interfejs Integracja z ERP Eksport aktualnych cen do naszego systemu ERP Eksport lub automatyczna integracja przez API Analiza danych z wykorzystaniem AI (pożądane) Możliwość analizy całej listy nomenklatury Ubogacanie, weryfikacja, rekomendacje — jeśli masz pomysły, opiszOczekiwany rezultat Działające rozwiązanie, w którym: Nomenklatura jest zorganizowana według kategorii z różnymi zestawami charakterystyk Prawa do kolumn są elastycznie konfigurowane (wyświetlanie / edytowanie) Dane są eksportowane do ERP Zespół może samodzielnie zarządzać systememCo potrzebujemy od Ciebie przy odpowiedzi Opisz w ogólnych zarysach, jak widzisz rozwiązanie: Jakie narzędzie / platformę proponujesz
Konieczne jest przeprowadzenie głębokiej analizy technicznej trzech plików PDF pod kątem autentyczności oraz możliwych oznak edytowania lub fałszowania. Potrzebna jest nie tylko wizualna ocena dokumentów. Wykonawca powinien dobrze rozumieć wewnętrzną strukturę plików PDF oraz umieć analizować: metadane plików; strukturę PDF oraz poszczególnych obiektów; historię tworzenia i możliwego edytowania; używane oprogramowanie; wbudowane czcionki, obrazy, warstwy i inne elementy; możliwe oznaki ponownego zapisywania, konwersji, wprowadzania zmian lub tworzenia dokumentu z datą wsteczną; jakiekolwiek techniczne niezgodności, które mogą świadczyć o manipulacjach z plikami. Na podstawie przeprowadzonej analizy należy przedstawić zrozumiałe pisemne wnioski dotyczące każdego pliku z wskazaniem wykrytych oznak, ryzyk oraz ograniczeń analizy. Rozważamy specjalistów, którzy mają praktyczne doświadczenie w cyfrowej kryminalistyce, analizie dokumentów PDF, metadanych lub weryfikacji plików elektronicznych pod kątem autentyczności. W odpowiedzi prosimy krótko opisać swoje doświadczenie, metody oraz narzędzia, które wykorzystujesz do takiej analizy.
Ogólne informacje Konieczne jest opracowanie prostej, minimalistycznej systemu webowego, którego głównym celem jest prowadzenie bazy klientów, tworzenie zapisów na wizyty oraz automatyzacja procesu potwierdzania wizyt przez SMS, wysyłanie jednorazowych linków przez API z samego serwisu. Projekt jest realizowany etapami. Na pierwszym etapie konieczne jest wdrożenie jedynie podstawowej funkcjonalności (MVP), aby system mógł być używany w rzeczywistej pracy. Po uruchomieniu i przetestowaniu będzie stopniowo rozszerzany o nowe moduły.Podstawowa funkcjonalność pierwszego etapu autoryzacja użytkowników; baza klientów; tworzenie i edytowanie zapisów; lista zapisów (lub prosty kalendarz); przełączanie między punktami sprzedaży; integracja z operatorem SMS przez API; wysyłanie SMS z dowolnym tekstem lub linkiem do potwierdzenia wizyty; potwierdzenie lub anulowanie wizyty przez klienta za pomocą jednorazowego linku; wyświetlanie statusu potwierdzenia bezpośrednio obok zapisu klienta. Na początkowym etapie zamiast pełnoprawnego kalendarza dopuszcza się użycie prostego wykazu zapisów według dni. Każdy dzień powinien zawierać chronologiczny wykaz rezerwacji z podaniem czasu, imienia klienta, usługi, pracownika oraz statusu potwierdzenia. W przyszłości ten wykaz można będzie zastąpić pełnoprawnym kalendarzem bez zmiany struktury systemu. W systemie powinna być możliwość przełączania się między punktami sprzedaży. Każdy punkt sprzedaży ma własną listę zapisów (lub kalendarz), ale wszystkie korzystają ze wspólnej bazy klientów.
Kopiowanie bazy i frontu dla bazy (Obecnie częściowo skopiowany front i niektóre cechy, ale niepoprawnie. Parser wypełnił bazę swoimi cechami) Synchronizacja parsera z bazą i cechami bazy Naprawa błędu agenta parsera Przycinanie zdjęć proporcjonalnie do znaku wodnego, które spływają z parsera Praca bufora z nową bazą i narzędziami z obiektami tej bazy Poprawienie drobnych błędów: na przykład tekst popupów lub drobne momenty na froncie, błędy, które pojawią się podczas realizacji zadań Podłączenie nowego magazynu do przechowywania mediów Logi przestały trafiać do tabeli operacji finansowych, co nas stronach bilansu i planu taryfowego (płatność taryfy, doładowanie konta (sukces/nie)) Sprawdzić jeszcze raz działanie płatności i po tym zamienić testowe API billingowe od monobanku na rzeczywiste Udoskonalić prawa dostępu dla użytkownika administratora baz Obecnie są zawieszone procesy, które obciążają serwer, trzeba to sprawdzić Logika komentarzy i notatek obecnie działa niepoprawnie, trzeba, aby dla tego samego obiektu w 2 bazach - komentarze były przypisane do każdej bazy, a nie do obiektu, źródłem którego jest obiekt tej bazy (Bardziej szczegółowo mogę wyjaśnić osobiście) Zafiksować w bazach poprawne sortowanie (Obecnie od pierwszego dodanego do ostatniego. trzeba odwrotnie, funkcjonalność sortowania stworzona) Sprawdzić i poprawić poprawność filtrów w bazach, możliwe, że dodać ograniczenia na filtrację przy dużych objętościach danych
Dzień dobry. Szukam dla siebie mentora w zakresie Linuxa. Mam doświadczenie jako mocny junior devops specjalista, ale Linux i Kubernetes to moje słabe punkty. Jeśli chodzi o Kubernetes, mam jeszcze niewielkie doświadczenie w projektach, natomiast z Linuxem mam bardzo powierzchowną interakcję. Coś stworzyć, dodać, zmienić nazwę, otworzyć itp. - to zdecydowanie za mało. Potrzebuję mentora, który pomoże mi w tej kwestii. Głównym celem jest, aby wiedza osiadła w głowie, może jakiś projekt poboczny, zadania, taski w tym stylu, a nie tylko "powtarzaj za mną". Uczyłem się samodzielnie, ale to szczególnie "nie osiada" w głowie. Oto przybliżona lista, co, moim zdaniem, jest mi potrzebne: - Systemy Linux/Unix — zaawansowane administrowanie systemami operacyjnymi, systemy plików, zarządzanie użytkownikami i uprawnieniami dostępu, procesami i usługami (systemd), skrypty Bash, logowanie, monitorowanie, konfiguracja bezpieczeństwa, automatyzacja zadań administracyjnych; - Technologie sieciowe — model OSI i stos TCP/IP, DNS, HTTP/HTTPS, SSL/TLS, SSH, VPN, równoważenie obciążenia, serwery proxy, NAT, routowanie, narzędzia sieciowe (ping, traceroute, netstat, ss, tcpdump, curl), diagnozowanie i rozwiązywanie problemów sieciowych; Jeśli do tej listy można jeszcze dodać Kubernetes, to będzie to mile widziane. Może coś od siebie zaproponujesz. Format zajęć, jak to widzę - 2 razy w tygodniu, spotkania, dyskusje, konsultacje. Bardziej szczegółowo, tutaj już wasze pomysły i propozycje. Co do ceny za godzinę lub za miesiąc - proponujcie