Audyt bezpieczeństwa aplikacji internetowej i bazy danych dla niestandardowego CRM — specjalista BaaS / Database-as-API (Penetr

Przegląd projektu

Obsługujemy platformę zarządzania relacjami z klientami (CRM) stworzoną na zamówienie, która prowadzi dwa biznesy usługowe w jednym systemie. Jest to nowoczesna aplikacja internetowa JavaScript wspierana przez bazę danych jako usługa (BaaS) i wdrożona na platformie hostingowej bezserwerowej. Platforma zarządza pełnym cyklem życia klienta — przyjmowaniem leadów, harmonogramowaniem, zleceniami roboczymi, fakturowaniem i koordynacją zespołu — oraz przechowuje dane osobowe, w tym imiona i nazwiska klientów, adresy pocztowe, numery telefonów, adresy e-mail oraz historię usług.

Już zakończyliśmy wewnętrzny przegląd bezpieczeństwa i wzmocnienia. Celem tego zaangażowania jest niezależna, zewnętrzna walidacja tej pracy: potwierdzenie, że wzmocnienie wytrzymuje testy w warunkach przeciwnych oraz identyfikacja wszelkich pozostałych luk. To nie jest przegląd budowy od podstaw. Szczególnie poszukujemy specjalisty w modelu bezpieczeństwa bazy danych jako API — publicznie ujawnione klucze klientów regulowane przez polityki dostępu na poziomie wiersza — ponieważ to jest nasza główna powierzchnia ryzyka. Pełny stos technologiczny zostanie ujawniony po podpisaniu umowy o poufności (NDA).

Podejście do zaangażowania

Proponujemy strukturalne, dwuetapowe zaangażowanie:

Etap 1 — Niezależna ocena czarnej skrzynki. Żadne wewnętrzne dokumenty ani wcześniejsze ustalenia nie są ujawniane. Oceniacie system tak, jakbyście byli zewnętrznym przeciwnikiem, produkując bezstronną ocenę, czy nasze wzmocnienie wytrzymuje testy.

Etap 2 — Przegląd luk. Po waszym niezależnym przeglądzie dzielimy się naszymi wewnętrznymi ustaleniami dotyczącymi wzmocnienia. Potwierdzacie, które elementy zostały rzeczywiście naprawione i ujawniają, co przeoczyliśmy.

Ta sekwencja zachowuje integralność niezależnej oceny, zapewniając jednocześnie, że wysiłek nie jest powielany w kwestiach, które są nam już znane.

Zakres prac

• Test penetracyjny aplikacji internetowej przeciwko OWASP Top 10 (iniekcja, skrypty międzywitrynowe, błędy uwierzytelniania i sesji, złamane kontrole dostępu i pokrewne kategorie).
• Główny nacisk — warstwa bazy danych jako API: przegląd polityk dostępu na poziomie wiersza, publiczne ujawnienie kluczy klientów, eskalacja uprawnień między rolami użytkowników oraz czy kontrole dostępu po stronie klienta mogą być ominięte przez bezpośrednie zapytania do bazy danych.
• Przegląd bezpieczeństwa bazy danych: kontrole dostępu, przechowywanie poświadczeń, szyfrowanie w spoczynku, ekspozycja w sieci oraz bezpieczeństwo kopii zapasowych.
• Ocena, jak dane osobowe klientów (PII) są przechowywane, przesyłane i chronione.

Wymagane umiejętności i doświadczenie

• Udokumentowane doświadczenie w testach penetracyjnych aplikacji internetowych (proszę podać zredagowany przykładowy raport).
• Praktyczne doświadczenie z platformami backend-as-a-service / database-as-API (np. Supabase, Firebase, PostgREST) oraz bezpieczeństwem na poziomie wiersza lub równoważnymi modelami dostępu po stronie klienta — nie tylko klasycznymi aplikacjami po stronie serwera. To jest najważniejszy wymóg.
• Znajomość zabezpieczania aplikacji, które obsługują dane osobowe.
• Jasna komunikacja pisemna. Przeprowadziliśmy wewnętrzne wzmocnienie i wymagamy niezależnej walidacji, więc ustalenia muszą być wyjaśnione na tyle jasno, aby kierownictwo nietechniczne mogło podjąć działania.

Certyfikaty (preferowane)

• OSWE (Ekspert ds. Bezpieczeństwa Internetowego Offensive Security)
• OSCP, GWAPT lub równoważny certyfikat GIAC w zakresie aplikacji internetowych również mile widziany.

Zasady zaangażowania

• Testy dynamiczne są przeprowadzane na dedykowanej kopii staging/sandbox, którą zapewniamy, a nie na żywej produkcji. Jakiekolwiek testy produkcyjne wymagają wcześniejszej pisemnej zgody.
• NDA jest wymagana przed udostępnieniem jakichkolwiek informacji lub szczegółów technicznych.
• Żadne prawdziwe dane osobowe klientów (PII) nie mogą być wykradane, kopiowane ani przechowywane na żadnym etapie zaangażowania.

Wyniki

• Pisemny raport z ustaleniami uporządkowanymi według stopnia ważności (Krytyczny / Wysoki / Średni / Niski), każdy z konkretnymi, wykonalnymi krokami naprawczymi.
• Zwięzłe podsumowanie dla kierownictwa nietechnicznego.
• Bezpłatny ponowny test po zastosowaniu poprawek, aby potwierdzić, że naprawy są skuteczne.

Odwołanie do zakresu (dla dokładnych wycen stałych)

Około 30 tabel bazy danych ujawnionych za pośrednictwem automatycznie generowanego REST API BaaS — główna powierzchnia ataku, regulowana przez polityki na poziomie wiersza; plus ~9 niestandardowych punktów końcowych bezserwerowych; 3–4 role użytkowników; pojedynczy najemca.

Aby aplikować, proszę dołączyć

1. Krótką notatkę na temat swojego doświadczenia w audycie BaaS / bezpieczeństwa na poziomie wiersza.
2. Zredagowany przykładowy raport lub opis tego, co zawierają twoje raporty.
3. Szacowany harmonogram i model cenowy (preferowane wynagrodzenie stałe).
4. Jakiekolwiek pytania wyjaśniające dotyczące zakresu.