Pentest-инженер Telegram-ботов

Добрый день, Алексей!

Специализируюсь на безопасности Telegram-ботов и их API — проведу пентест по делу, без воды.

Что проверю:
• Логика бота: авторизация по chat_id/user_id, IDOR (доступ к чужим данным), обход сценариев и состояний, инъекции в команды и пользовательский ввод.
• API и вебхуки: аутентификация эндпоинтов, утечки данных, отсутствие rate-limit, подделка запросов, секреты в трафике.
• Интеграции и сторонние сервисы: безопасность токенов, обработка ошибок, утечки через логи и ответы.
• Методология: OWASP Top 10 и OWASP API Security Top 10.
…
Результат: отчёт с уязвимостями, их критичностью по риску и конкретными рекомендациями по устранению — понятный и разработчику, и бизнесу.

Срок: 2 дня на одного бота (по кластеру уточню объём).
Стоимость: 25 EUR на входе, финально — под точный объём.

Примеры работ и отзывы: Freelancehunt

Готов стартовать сразу после уточнения доступа.

Добрый день, Алексей!

Вижу вы также разместили проект по нагрузочному тестированию — готов взять оба под ключ, это логично дополняет друг друга.

По пентесту:

Проверю типовые уязвимости Telegram-ботов:

IDOR через chat_id / user_id — несанкционированный доступ к чужим данным
… Инъекции в пользовательских вводах (SQL, command injection)
Утечка токена бота / webhook URL
Безопасность webhook (SSL, secret token, replay attacks)
Обход авторизации и privilege escalation
API security — rate limiting, data leakage в ответах
Результат: отчёт с описанием уязвимостей, уровнем критичности (CVSS) и конкретными рекомендациями по исправлению.

Срок: 3 дня
Стоимость: уточните бюджет — конкуренты в вашем проекте поставили нереалистичные суммы, предложу адекватную цену.

Уточните: бот на вебхуке или поллинге, есть ли внешние интеграции?

Привет. Использует ли бот внешние API или сторонние сервисы для обработки данных?

Детали по срокам и бюджету уточню в личной переписке.

Вот как я выполню этот проект:
1. Проведу ручной и автоматизированный анализ логики бота и его команд.
2. Протестирую API-эндпоинты и интеграции на наличие утечек данных и инъекций.
3. Составлю отчет с описанием найденных рисков, их критичностью и конкретными рекомендациями.

… Спасибо за рассмотрение моего предложения. Я с нетерпением жду возможности сотрудничества с вами!

Показать оригинал

Перевести

Добрый день! Мы имеем опыт в проведении пентестов для ботов и интеграций. Реализуем проверку через анализ API, поиск логических уязвимостей и оценку рисков согласно OWASP. Предоставим детальный отчет с практическими рекомендациями по устранению найденных угроз. Готовы приступить к аудиту безопасности Вашего проекта в ближайшее время.