• Проекты 29
  • Оценка 4.4
  • Рейтинг 5 148

Бюджет: 254200 UAH Срок: 18 дней

Для описанного объема моя фиксированная плата составляет 6200 долларов США, а срок выполнения — 18 календарных дней после подписания NDA, предоставления доступа к тестированию, тестовых аккаунтов и письменных правил взаимодействия. Это включает в себя черный ящик тестирования, обзор политики BaaS и RLS, 9 безсерверных конечных точек, исполнительное резюме, отчет с ранжированием по степени серьезности и одну повторную проверку после исправлений.

Мы можем рассматривать это как проверку безопасности модели базы данных как API, а не как обычный запуск сканера. Основная работа заключается в том, чтобы доказать, могут ли открытый клиентский ключ и политики на уровне строк быть использованы в злоумышленных целях через прямые API-вызовы, переключение ролей, перечисление объектов, нарушения проверок владения и обход контроля на стороне клиента. Я могу предоставить структуру отчета с удаленными данными на платформе - выводы, доказательства, влияние, шаги воспроизведения, меры по устранению и статус повторного тестирования. Небольшая заметка - если вы ожидаете формальную сертифицированную аттестацию, проводимую OSWE, пожалуйста, сообщите об этом до выбора, так как это изменяет состав команды и цену.

Два вопроса перед окончательным подтверждением:
> Какая платформа BaaS используется - Supabase, Firebase, PostgREST или другая?
> Будет ли копия на стадии включать представительные роли и синтетические данные, похожие на PII, без реальных клиентских записей?

Соответствующие примеры Ingello:
> https://business.ingello.com/platforma - архитектура корпоративной платформы с отделами, ролями, рабочими процессами и логикой доступа к данным

Мобильное приложение с админкой
  • Проекты 7
  • Оценка 5.0
  • Рейтинг 6 195

Бюджет: 50400 UAH Срок: 12 дней

Будет проведен двухфазный аудит безопасности BaaS, охватывающий обход политики RLS, эскалацию привилегий по вашим 3-4 ролям и OWASP Top 10 против ~30-табличного автоматически сгенерированного REST API плюс 9 безсерверных конечных точек. Фаза 1 черный ящик: Burp Suite Pro для перехвата трафика клиентского ключа, прямое тестирование запросов PostgREST/Supabase, чтобы проверить, действуют ли политики на уровне строк при полном обходе уровня приложения. Фаза 2 - обзор пробелов следует после передачи ваших внутренних находок, затем повторное тестирование после исправлений. Является ли уровень BaaS конкретно Supabase или это другая платформа базы данных как API?

  • Проекты 5
  • Оценка 5.0
  • Рейтинг 673

Бюджет: 2000 UAH Срок: 7 дней

Привет, я работал над аудитом безопасности для платформы электронной коммерции с более чем 15,000 пользователей, которая использовала Firebase с политиками безопасности на уровне строк. Нашел 8 критических уязвимостей в архитектуре database-as-API и помог защитить PII данных более 400,000 клиентов.

Какая конкретная BaaS платформа используется в вашей CRM системе? Это поможет мне лучше понять специфику политик доступа на уровне строк, которые нужно протестировать.

Предлагаю связаться, я бесплатно проконсультирую вас с технической стороны и составим план разработки + расскажу о моей команде!

  • Проекты -
  • Оценка -
  • Рейтинг 525

Бюджет: 8000 UAH Срок: 10 дней

У меня есть опыт пентестирования веб-приложений и аудита BaaS/Database-as-API (Supabase, PostgREST, Firebase).

Фаза 1 (черный ящик): Burp Suite Pro - перехват клиентского ключа, прямые запросы к REST API, обходя UI для тестирования обхода RLS. Оценка OWASP Top 10: нарушенный контроль доступа, ошибки аутентификации/сессий, инъекции, XSS. Проверка повышения привилегий между 3-4 ролями, уязвимости RLS (USING(true), дыры в auth.uid()), экспозиция PII.

Фаза 2: верификация вашего внутреннего укрепления, нахожу остаточные проблемы.

Результат: отчет Critical/High/Medium/Low + executive summary + бесплатный повторный тест после фиксов. NDA подпишу первым шагом.

  • Проекты 4
  • Оценка 4.9
  • Рейтинг 976

Бюджет: 50000 UAH Срок: 10 дней

Добрый день. Меня зовут Дмитрий. Заинтересовал ваш проект, так как у меня есть опыт аудита и тестирования безопасности веб-приложений, включая системы на базе Supabase, Firebase, PostgreSQL, serverless-архитектур и моделей Database-as-API. Особенно интересен ваш подход с двухфазной проверкой, так как он позволяет получить действительно независимую оценку без влияния предыдущих внутренних выводов. Основное внимание могу уделить именно проверке политик доступа на уровне строк (RLS), изоляции данных между ролями пользователей, возможным путям эскалации привилегий, обходу клиентских ограничений и непосредственному взаимодействию с API базы данных. В рамках аудита могу выполнить: — тестирование по методологии OWASP Top 10; — анализ контроля доступа между ролями и арендаторами; — проверку конфигурации BaaS-платформы; — аудит политик RLS и их обхода; — проверку работы публичных клиентских ключей; — анализ защиты персональных данных (PII); — проверку безопасности API и serverless endpoint; — аудит резервного копирования и конфигурации базы данных. По результатам будет подготовлен детальный отчет с классификацией рисков (Critical / High / Medium / Low), рекомендациями по устранению и отдельным executive summary для руководства. Предварительно для указанного объема (около 30 таблиц, 9 serverless endpoint, несколько ролей пользователей) оцениваю выполнение в пределах 7–14 рабочих дней после получения доступа к staging-среде и подписания NDA. Для более точной оценки хотел бы уточнить: — используется ли Supabase, Firebase или другое BaaS-решение; — есть ли отдельные административные роли с расширенными правами; — используется ли JWT-based авторизация и кастомные claims; — нужно ли тестирование исключительно веб-приложения или также мобильных клиентов (если они существуют). Готов обсудить детали сотрудничества и формат проведения аудита.

  • Проекты -
  • Оценка -
  • Рейтинг 196

Бюджет: 131200 UAH Срок: 14 дней

у нас уже есть практическое руководство по аудиту безопасности на уровне строк BaaS, матрица тестирования и шаблон отчета, поэтому его можно быстро адаптировать для вашей CRM и обсудить здесь сейчас =)
фиксированная плата подходит для этого объема.
для примерно 30 открытых таблиц, 9 безсерверных конечных точек, 3-4 ролей и повторного тестирования, моя оценка составляет 3,200 долларов США и 14 календарных дней.
NDA подходит, прежде чем будут поделены детали стека.

мой подход будет состоять из двух этапов.
- черный ящик тестирования против рисков OWASP, аутентификации, обработки сессий, нарушенного контроля доступа, эскалации ролей, раскрытия PII и прямых REST-запросов к слою базы данных как API
- обзор пробелов после того, как ваши внутренние результаты будут поделены, с проверкой того, что действительно исправлено, а что все еще обходится мимо политик контроля

отчеты обычно включают степень серьезности, путь эксплуатации, затронутый актив, доказательства, бизнес-воздействие, четкие шаги по исправлению и исполнительное резюме для не технического руководства.

  • Проекты -
  • Оценка -
  • Рейтинг 626

Бюджет: 16000 UAH Срок: 12 дней

▎ Здравствуйте!

▎ Ваша основная зона риска — именно моя специализация: модель «база как API» с публичным клиентским ключом, где доступ держится исключительно на RLS-политиках. Здесь серверные предположения не действуют: фронтенд обходится прямым обращением к авто-REST API, и единственное, что реально
▎ защищает строки, — корректность политик.

▎ Что буду проверять прицельно (Фаза 1, черный ящик, только ваш staging):
▎ • RLS по-настоящему: для каждой из ~30 таблиц — изолируют ли политики строки/роли, есть ли таблицы без политик / с USING(true) / с пробелами в auth.uid()-проверках. Прямое чтение и запись через REST в обход UI.
▎ • Эскалация между 3–4 ролями: манипуляция JWT-клеймами, путаница ролей, доступ к чужим строкам и колонкам.
▎ • IDOR и перечисление через автогенерированный REST (предиктивные id, фильтры, embedded-ресурсы).
▎ • ~9 serverless-функций: авторизация на каждой, утечка service-role/admin-ключа на клиент, инъекции, SSRF.

Ставки скрыты

В списке не показаны ставки, скрытые заказчиком или фрилансером c профилем Plus, а также ставки, нарушающие правила

Актуальные фриланс-проекты в категории Базы данных и SQL

1 июля
1 июля
30 июня