• Проєкти 29
  • Оцінка 4.4
  • Рейтинг 5 148

Бюджет: 254200 UAH Термін: 18 днів

Для описаного обсягу моя фіксована плата становить 6200 доларів США, а термін виконання - 18 календарних днів після підписання NDA, надання доступу до тестування, тестових облікових записів та письмових правил взаємодії. Це включає чорну коробку тестування, перегляд політики BaaS та RLS, 9 безсерверних кінцевих точок, виконавче резюме, звіт з ранжуванням за ступенем серйозності та один повторний тест після виправлень.

Ми можемо розглядати це як валідацію безпеки моделі бази даних як API, а не як загальний запуск сканера. Основна робота полягає в тому, щоб довести, чи може публічний ключ клієнта разом з політиками на рівні рядків бути зловжито через прямі виклики API, перемикання ролей, перерахування об'єктів, зламані перевірки власності та обходи контролю на стороні клієнта. Я можу надати структуру редагованого звіту на платформі - висновки, докази, вплив, кроки відтворення, усунення та статус повторного тестування. Невелика примітка - якщо ви очікуєте формальну сертифіковану атестацію під керівництвом OSWE, будь ласка, скажіть про це перед вибором, оскільки це змінює склад команди та ціну.

Два питання перед остаточним затвердженням
> Яка платформа BaaS використовується - Supabase, Firebase, PostgREST чи інша
> Чи буде копія стадії включати репрезентативні ролі та синтетичні дані, схожі на PII, без реальних записів клієнтів

Відповідні приклади Ingello
> https://business.ingello.com/platforma - корпоративна архітектура платформи з відділами, ролями, робочими процесами та логікою доступу до даних

Мобільна програма з адмінкою
  • Проєкти 7
  • Оцінка 5.0
  • Рейтинг 6 195

Бюджет: 50400 UAH Термін: 12 днів

Виконаємо двофазний аудит безпеки BaaS, що охоплює обхід політики RLS, ескалацію привілеїв для ваших 3-4 ролей та OWASP Top 10 для ~30-табличного автоматично згенерованого REST API плюс 9 безсерверних кінцевих точок. Фаза 1 чорна скринька: Burp Suite Pro для перехоплення трафіку клієнтського ключа, пряме запитування PostgREST/Supabase для перевірки, чи діють політики на рівні рядків при повному обході прикладного шару. Фаза 2 - огляд прогалин після передачі ваших внутрішніх висновків, а потім повторне тестування після виправлень. Чи є шар BaaS конкретно Supabase, чи це інша платформа бази даних як API?

  • Проєкти 5
  • Оцінка 5.0
  • Рейтинг 673

Бюджет: 2000 UAH Термін: 7 днів

Привіт, я працював над аудитом безпеки для платформи електронної комерції з понад 15,000 користувачів, яка використовувала Firebase з row-level security policies Знайшов 8 критичних уразливостей у database-as-API архітектурі та допоміг захистити PII даних 400,000+ клієнтів

Яка конкретна BaaS платформа використовується у вашій CRM системі? Це допоможе мені краще зрозуміти специфіку row-level access policies, які потрібно протестувати.

Пропоную зв'язатися, я безкоштовно проконсультую вас з технічної сторони та складемо план розробки + розповім про мою команду!

  • Проєкти -
  • Оцінка -
  • Рейтинг 525

Бюджет: 8000 UAH Термін: 10 днів

Маю досвід pentest веб-додатків та аудиту BaaS/Database-as-API (Supabase, PostgREST, Firebase).

Phase 1 (чорний ящик): Burp Suite Pro - перехоплення клієнтського ключа, прямі запити до REST API оминаючи UI для тестування RLS bypass. Ощінка OWASP Top 10: broken access control, auth/session flaws, інъєкції, XSS. Перевірка privilege escalation між 3-4 ролями, RLS зазори (USING(true), гапи в auth.uid()), PII-експозиція.

Phase 2: верифікація вашого internal hardening, знаходжу залишкових проблем.

Результат: звіт Critical/High/Medium/Low + executive summary + безкоштовний retest після фіксів. NDA підпишу першим кроком.

  • Проєкти 4
  • Оцінка 4.9
  • Рейтинг 976

Бюджет: 50000 UAH Термін: 10 днів

Доброго дня. Мене звати Дмитро. Зацікавив ваш проект, оскільки маю досвід аудиту та тестування безпеки веб-додатків, включаючи системи на базі Supabase, Firebase, PostgreSQL, serverless-архітектур та моделей Database-as-API.
Особливо цікавий ваш підхід із двофазною перевіркою, оскільки він дозволяє отримати дійсно незалежну оцінку без впливу попередніх внутрішніх висновків. Основну увагу можу приділити саме перевірці політик доступу на рівні рядків (RLS), ізоляції даних між ролями користувачів, можливим шляхам ескалації привілеїв, обходу клієнтських обмежень та безпосередній взаємодії з API бази даних.
У рамках аудиту можу виконати:
— тестування за методологією OWASP Top 10;
— аналіз контролю доступу між ролями та орендарями;
— перевірку конфігурації BaaS-платформи;
— аудит політик RLS та їх обходу;
— перевірку роботи публічних клієнтських ключів;
— аналіз захисту персональних даних (PII);
— перевірку безпеки API та serverless endpoint;

  • Проєкти -
  • Оцінка -
  • Рейтинг 196

Бюджет: 131200 UAH Термін: 14 днів

ми вже маємо практичний посібник з аудиту безпеки на рівні рядків BaaS, матрицю тестування та шаблон звіту, тому їх можна швидко адаптувати для вашої CRM і обговорити тут зараз =)
фіксована плата підходить для цього обсягу.
для приблизно 30 відкритих таблиць, 9 безсерверних кінцевих точок, 3-4 ролей і повторного тестування, моя оцінка становить 3,200 доларів США та 14 календарних днів.
NDA підходить перед тим, як будуть подані деталі стеку.

мій підхід полягатиме у двох етапах.
- тестування "чорної скриньки" на основі ризиків OWASP, аутентифікації, обробки сесій, порушення контролю доступу, ескалації ролей, витоку PII та прямих REST-запитів до шару бази даних як API
- огляд прогалин після того, як ваші внутрішні знахідки будуть подані, з валідацією того, що дійсно виправлено, а що все ще обходить політичні контролі

звіти зазвичай включають серйозність, шлях експлуатації, постраждалий актив, докази, бізнес-вплив, чіткі кроки щодо виправлення та виконавче резюме для нетехнічного керівництва.

  • Проєкти -
  • Оцінка -
  • Рейтинг 626

Бюджет: 16000 UAH Термін: 12 днів

▎ Вітаю!

▎ Ваша основна зона ризику — саме моя спеціалізація: модель «база як API» з публічним клієнтським ключем, де доступ тримається виключно на RLS-політиках. Тут серверні припущення не діють: фронтенд обходиться прямим зверненням до авто-REST API, і єдине, що реально
▎ захищає рядки, — коректність політик.

▎ Що перевірятиму прицільно (Фаза 1, чорна скринька, лише ваш staging):
▎ • RLS по-справжньому: для кожної з ~30 таблиць — чи ізолюють політики рядки/ролі, чи є таблиці без політик / з USING(true) / з прогалинами в auth.uid()-перевірках. Пряме читання й запис через REST в обхід UI.
▎ • Ескалація між 3–4 ролями: маніпуляція JWT-клеймами, плутанина ролей, доступ до чужих рядків і колонок.
▎ • IDOR і перелічення через автогенерований REST (предиктивні id, фільтри, embedded-ресурси).
▎ • ~9 serverless-функцій: авторизація на кожній, витік service-role/admin-ключа на клієнт, інʼєкції, SSRF.

Ставки приховані

У списку не показані ставки, приховані замовником чи фрилансером з Plus, а також ставки, що порушують правила

Актуальні фриланс-проєкти в категорії Бази даних та SQL

1 липня
30 червня