• Zlecenia 29
  • Ocena 4.4
  • Ranking 5 148

Budżet: 254200 UAH Termin: 18 dni

Dla opisanego zakresu moja stała opłata wynosi 6200 USD, a czas realizacji to 18 dni kalendarzowych po podpisaniu NDA, uzyskaniu dostępu do stagingu, kont testowych oraz pisemnych zasad współpracy. Obejmuje to testy czarnej skrzynki, przegląd polityki BaaS i RLS, 9 punktów końcowych bezserwerowych, streszczenie wykonawcze, raport z klasyfikacją według powagi oraz jedną rundę ponownych testów po wprowadzeniu poprawek.

Możemy to traktować jako walidację bezpieczeństwa modelu bazy danych jako API, a nie jako ogólne uruchomienie skanera. Główna praca polega na udowodnieniu, czy publiczny klucz klienta oraz polityki na poziomie wiersza mogą być nadużywane przez bezpośrednie wywołania API, przełączanie ról, enumerację obiektów, błędne kontrole własności oraz obejścia kontroli po stronie klienta. Mogę dostarczyć zredagowaną strukturę raportu na platformie - ustalenia, dowody, wpływ, kroki reprodukcji, remedialne działania oraz status ponownych testów. Mała uwaga - jeśli oczekujesz formalnej certyfikowanej atestacji prowadzonej przez OSWE, proszę powiedz to przed wyborem, ponieważ to zmienia skład zespołu i cenę.

Dwa pytania przed ostatecznym zatwierdzeniem
> Która platforma BaaS jest używana - Supabase, Firebase, PostgREST, czy inna
> Czy kopia stagingowa będzie zawierać reprezentatywne role i syntetyczne dane podobne do PII, bez prawdziwych rekordów klientów

Relewantne przykłady Ingello
> https://business.ingello.com/platforma - architektura platformy korporacyjnej z działami, rolami, przepływami pracy i logiką dostępu do danych

Aplikacja mobilna z adminką
  • Zlecenia 7
  • Ocena 5.0
  • Ranking 6 195

Budżet: 50400 UAH Termin: 12 dni

Przeprowadzimy dwuetapowy audyt bezpieczeństwa BaaS, obejmujący obejście polityki RLS, eskalację uprawnień w ramach 3-4 ról oraz OWASP Top 10 w stosunku do ~30-tabelowego automatycznie generowanego REST API oraz 9 bezserwerowych punktów końcowych. Faza 1 czarna skrzynka: Burp Suite Pro do przechwytywania ruchu klucza klienta, bezpośrednie testowanie zapytań PostgREST/Supabase, aby sprawdzić, czy polityki na poziomie wiersza działają, gdy całkowicie omijamy warstwę aplikacji. Faza 2 przegląd luk następuje po przekazaniu wewnętrznych ustaleń, a następnie ponowne testowanie po wprowadzeniu poprawek. Czy warstwa BaaS to konkretnie Supabase, czy inna platforma baza-danych-jako-API?

  • Zlecenia 5
  • Ocena 5.0
  • Ranking 673

Budżet: 2000 UAH Termin: 7 dni

Cześć, pracowałem nad audytem bezpieczeństwa dla platformy e-commerce z ponad 15 000 użytkowników, która korzystała z Firebase z politykami bezpieczeństwa na poziomie wiersza. Znalazłem 8 krytycznych luk w architekturze database-as-API i pomogłem zabezpieczyć dane PII ponad 400 000 klientów.

Jaka konkretna platforma BaaS jest używana w waszym systemie CRM? To pomoże mi lepiej zrozumieć specyfikę polityk dostępu na poziomie wiersza, które należy przetestować.

Proponuję się skontaktować, chętnie doradzę Państwu bezpłatnie z technicznej strony i opracujemy plan rozwoju + opowiem o moim zespole!

  • Zlecenia -
  • Ocena -
  • Ranking 525

Budżet: 8000 UAH Termin: 10 dni

Mam doświadczenie w pentestingu aplikacji webowych oraz audycie BaaS/Database-as-API (Supabase, PostgREST, Firebase).

Faza 1 (czarna skrzynka): Burp Suite Pro - przechwytywanie klucza klienta, bezpośrednie zapytania do REST API omijając UI w celu testowania obejścia RLS. Ocena OWASP Top 10: złamane kontrole dostępu, błędy autoryzacji/sesji, iniekcje, XSS. Sprawdzenie eskalacji uprawnień między 3-4 rolami, luki RLS (USING(true), luki w auth.uid()), ekspozycja PII.

Faza 2: weryfikacja waszego wewnętrznego wzmocnienia, znajduję pozostałe problemy.

Wynik: raport Krytyczny/Wysoki/Średni/Niski + podsumowanie wykonawcze + darmowy retest po poprawkach. NDA podpiszę jako pierwszy krok.

  • Zlecenia 4
  • Ocena 4.9
  • Ranking 976

Budżet: 50000 UAH Termin: 10 dni

Dzień dobry. Nazywam się Dmytro. Zainteresował mnie Państwa projekt, ponieważ mam doświadczenie w audycie i testowaniu bezpieczeństwa aplikacji internetowych, w tym systemów opartych na Supabase, Firebase, PostgreSQL, architekturze serverless oraz modelach Database-as-API. Szczególnie interesuje mnie Państwa podejście z dwufazową weryfikacją, ponieważ pozwala ono uzyskać naprawdę niezależną ocenę bez wpływu wcześniejszych wewnętrznych wniosków. Główną uwagę mogę poświęcić weryfikacji polityk dostępu na poziomie wierszy (RLS), izolacji danych między rolami użytkowników, możliwym ścieżkom eskalacji uprawnień, omijaniu ograniczeń klienta oraz bezpośredniej interakcji z API bazy danych. W ramach audytu mogę wykonać: — testowanie według metodologii OWASP Top 10; — analizę kontroli dostępu między rolami a najemcami; — weryfikację konfiguracji platformy BaaS; — audyt polityk RLS i ich omijania; — weryfikację działania publicznych kluczy klienta; — analizę ochrony danych osobowych (PII); — weryfikację bezpieczeństwa API i punktów końcowych serverless; — audyt kopii zapasowych i konfiguracji bazy danych. Na podstawie wyników zostanie przygotowany szczegółowy raport z klasyfikacją ryzyk (Krytyczne / Wysokie / Średnie / Niskie), rekomendacjami dotyczącymi usunięcia oraz osobnym podsumowaniem dla kierownictwa. Wstępnie dla wskazanego zakresu (około 30 tabel, 9 punktów końcowych serverless, kilka ról użytkowników) oceniam wykonanie w ciągu 7–14 dni roboczych po uzyskaniu dostępu do środowiska stagingowego i podpisaniu NDA. Dla dokładniejszej oceny chciałbym wyjaśnić: — czy używane jest Supabase, Firebase czy inne rozwiązanie BaaS; — czy istnieją oddzielne role administracyjne z rozszerzonymi uprawnieniami; — czy używana jest autoryzacja oparta na JWT oraz niestandardowe claims; — czy potrzebne jest testowanie wyłącznie aplikacji internetowej, czy także klientów mobilnych (jeśli istnieją). Jestem gotów omówić szczegóły współpracy oraz format przeprowadzenia audytu.

  • Zlecenia -
  • Ocena -
  • Ranking 196

Budżet: 131200 UAH Termin: 14 dni

już mamy praktyczny podręcznik audytu bezpieczeństwa na poziomie wiersza BaaS, macierz testów i szablon raportu, więc można go szybko dostosować do Twojego CRM i omówić tutaj teraz =)
stała opłata działa w tym zakresie.
za około 30 wystawionych tabel, 9 bezserwerowych punktów końcowych, 3-4 role i ponowny test, moja szacunkowa kwota to 3 200 USD i 14 dni kalendarzowych.
NDA jest w porządku przed udostępnieniem szczegółów stosu.

moje podejście obejmowałoby dwa etapy.
- testowanie czarnej skrzynki w odniesieniu do ryzyk OWASP, uwierzytelniania, obsługi sesji, złamania kontroli dostępu, eskalacji ról, ujawnienia PII oraz bezpośrednich zapytań REST przeciwko warstwie bazy danych jako API
- przegląd luk po udostępnieniu Twoich wewnętrznych ustaleń, z walidacją tego, co zostało naprawdę naprawione, a co nadal omija kontrole polityki

raporty zazwyczaj zawierają ciężkość, ścieżkę eksploatacji, dotknięty zasób, dowody, wpływ na biznes, jasne kroki naprawcze oraz streszczenie dla kierownictwa nietechnicznego.

  • Zlecenia -
  • Ocena -
  • Ranking 626

Budżet: 16000 UAH Termin: 12 dni

▎ Witaj! ▎ ▎ Twoja główna strefa ryzyka — to moja specjalizacja: model „baza jako API” z publicznym kluczem klienta, gdzie dostęp opiera się wyłącznie na politykach RLS. Tutaj założenia serwerowe nie działają: frontend korzysta z bezpośrednich wywołań do auto-REST API, a jedyną rzeczą, która naprawdę ▎ chroni wiersze, jest poprawność polityk. ▎ ▎ Co będę sprawdzać szczegółowo (Faza 1, czarna skrzynka, tylko Twój staging): ▎ • RLS w rzeczywistości: dla każdej z ~30 tabel — czy polityki izolują wiersze/role, czy są tabele bez polityk / z USING(true) / z lukami w sprawdzeniach auth.uid(). Bezpośrednie odczyty i zapisy przez REST z pominięciem UI. ▎ • Eskalacja między 3–4 rolami: manipulacja JWT-claimami, pomyłki ról, dostęp do cudzych wierszy i kolumn. ▎ • IDOR i enumeracja przez autogenerowany REST (predykcyjne id, filtry, embedded-zasoby). ▎ • ~9 funkcji serverless: autoryzacja na każdej, wyciek klucza service-role/admin na klienta, iniekcje, SSRF. ▎ • PII: które tabele zwracają dane osobowe bez odpowiedniej polityki; storage-bucket; szyfrowanie at-rest; kopie zapasowe; otwarcie sieciowe. ▎ • OWASP Top-10 dla web-sharu (auth/sesje, kontrola dostępu, iniekcje, XSS). ▎ ▎ Proces pod Twój format: najpierw niezależne przejście czarną skrzynką bez Twoich notatek (Faza 1), potem weryfikacja z Twoim wewnętrznym hardeningiem i poszukiwanie resztek (Faza 2) — bez powielania już znanego. Żadnych rzeczywistych PII nie wyciągam: pracuję na syntetyce/obliczeniach, nie na ▎ treści. Testuję tylko przeciwko dostarczonemu staging; prod — tylko za pisemną zgodą. ▎ ▎ Wynik: raport z wnioskami według powagi (Critical/High/Medium/Low), każdy — z konkretnymi krokami naprawy; osobne executive-podsumowanie dla nietechnicznego kierownictwa; darmowy powtórny test po Twoich poprawkach. ▎ ▎ Wyjaśnienia dotyczące zakresu: ▎ 1. staging zawiera syntetyczne dane zamiast rzeczywistych PII? ▎ 2. w przypadku ~9 funkcji serverless — potrzebna jest recenzja kodu czy tylko czarna skrzynka z zewnątrz? ▎ ▎ Gotowy wzór raportu (demonstracja formatu i metodologii na przykładzie szkoleniowym) pokażę w wiadomościach prywatnych — w aplikacji nie ma gdzie załączyć, a wrzucanie „prześcieradłem” tutaj jest nieodpowiednie. Pełne szczegóły techniczne omawiamy po NDA, które jestem gotów podpisać jako pierwszy ▎ krok.

Oferty ukryte

W liście nie są widoczne oferty ukryte przez zleceniodawcę lub freelancerów z profilem Plus, a także oferty, które naruszają regulamin

Aktualne zlecenia dla freelancerów w kategorii Bazy danych i SQL

1 lipca
30 czerwca
26 czerwca