Аудит безопасности веб-приложения и базы данных для пользовательской CRM — специалист по BaaS / Database-as-API (пентест)

Обзор проекта

Мы управляем индивидуально разработанной платформой управления взаимоотношениями с клиентами (CRM), которая обслуживает два сервисных бизнеса на одной системе. Это современное веб-приложение на JavaScript, поддерживаемое базой данных как сервис (BaaS) и развернутое на платформе безсерверного хостинга. Платформа управляет полным жизненным циклом клиента — прием лидов, планирование, рабочие заказы, выставление счетов и координация команды — и хранит личную идентифицируемую информацию, включая имена клиентов, почтовые адреса, номера телефонов, адреса электронной почты и историю обслуживания.

Мы уже завершили внутренний обзор безопасности и процесс усиления. Цель этого взаимодействия — независимая, сторонняя валидация этой работы: подтверждение того, что усиление выдерживает испытания в условиях противодействия, и выявление любых оставшихся уязвимостей. Это не обзор сборки с нуля. Мы специально ищем специалиста в области модели безопасности базы данных как API — публично открытые клиентские ключи, регулируемые политиками доступа на уровне строк — так как это наша основная поверхность риска. Полный технический стек будет раскрыт после подписания соглашения о неразглашении (NDA).

Подход к взаимодействию

Мы предлагаем структурированное взаимодействие в два этапа:

Этап 1 — Независимая оценка черного ящика. Никакая внутренняя документация или предыдущие результаты не раскрываются. Вы оцениваете систему так, как это сделал бы внешний противник, создавая беспристрастную оценку того, выдерживает ли наше усиление испытания.

Этап 2 — Обзор уязвимостей. После вашей независимой оценки мы делимся нашими внутренними находками по усилению. Вы подтверждаете, какие элементы действительно исправлены, и выявляете то, что мы пропустили.

Эта последовательность сохраняет целостность независимой оценки, обеспечивая при этом, что усилия не дублируются по вопросам, которые нам уже известны.

Объем работы

• Тестирование веб-приложения на проникновение против OWASP Top 10 (инъекции, межсайтовый скриптинг, ошибки аутентификации и сессий, нарушения контроля доступа и связанные категории).
• Основное внимание — уровень базы данных как API: обзор политик доступа на уровне строк, публичное раскрытие клиентских ключей, эскалация привилегий между ролями пользователей и возможность обхода клиентских средств контроля доступа путем прямого запроса к базе данных.
• Обзор безопасности базы данных: контроль доступа, хранение учетных данных, шифрование в состоянии покоя, сетевое раскрытие и безопасность резервного копирования.
• Оценка того, как хранится, передается и защищается личная идентифицируемая информация (PII) клиентов.

Требуемые навыки и опыт

• Доказанный опыт тестирования на проникновение веб-приложений (пожалуйста, предоставьте отредактированный образец отчета).
• Практический опыт работы с платформами базы данных как сервис / база данных как API (например, Supabase, Firebase, PostgREST) и политиками безопасности на уровне строк или эквивалентными моделями доступа с клиентским ключом — не только классическими серверными приложениями. Это самое важное требование.
• Знание методов защиты приложений, обрабатывающих личные данные.
• Четкое письменное общение. Мы провели внутреннее усиление и требуем независимой валидации, поэтому результаты должны быть объяснены достаточно просто, чтобы не техническое руководство могло на них реагировать.

Сертификаты (предпочтительно)

• OSWE (Эксперт по веб-безопасности Offensive Security)
• OSCP, GWAPT или эквивалентная сертификация GIAC по веб-приложениям также приветствуется.

Правила взаимодействия

• Динамическое тестирование проводится против выделенной копии стенда/песочницы, которую мы предоставляем, а не против живой продукции. Любое тестирование в производственной среде требует предварительного письменного согласия.
• NDA требуется перед тем, как будут предоставлены любые доступы или технические детали.
• Никакая реальная личная информация клиентов (PII) не может быть экстрагирована, скопирована или сохранена на любом этапе взаимодействия.

Результаты

• Письменный отчет с результатами, ранжированными по степени серьезности (Критическая / Высокая / Средняя / Низкая), каждый из которых сопровождается конкретными, осуществимыми шагами по исправлению.
• Краткое исполнительное резюме для не технического руководства.
• Бесплатное повторное тестирование после того, как мы применим исправления, чтобы подтвердить, что исправления эффективны.

Ссылка на объем работ (для точных фиксированных цен)

Приблизительно 30 таблиц базы данных, открытых через автоматически сгенерированный REST API BaaS — основная поверхность атаки, регулируемая политиками на уровне строк; плюс ~9 пользовательских безсерверных конечных точек; 3–4 роли пользователей; один арендатор.

Чтобы подать заявку, пожалуйста, включите

1. Краткое сообщение о вашем соответствующем опыте аудита BaaS / безопасности на уровне строк.
2. Отредактированный образец отчета или описание того, что содержится в ваших отчетах.
3. Ваш предполагаемый график и модель ценообразования (предпочтительно фиксированная цена).
4. Любые уточняющие вопросы по объему работ.