Аудит безпеки веб-додатків та бази даних для кастомного CRM — спеціаліст з BaaS / бази даних як API (пенетрація

Огляд проекту

Ми експлуатуємо спеціально розроблену платформу управління взаємовідносинами з клієнтами (CRM), яка обслуговує два сервісні бізнеси на єдиній системі. Це сучасний веб-додаток на JavaScript, підтримуваний базою даних як послугою (BaaS) і розгорнутий на безсерверній хостинг-платформі. Платформа управляє повним життєвим циклом клієнта — прийомом лідів, плануванням, замовленнями на виконання, виставленням рахунків і координацією команди — та зберігає особисту інформацію, включаючи імена клієнтів, поштові адреси, номери телефонів, електронні адреси та історію обслуговування.

Ми вже завершили внутрішній огляд безпеки та посилення. Метою цього залучення є незалежна, третя сторона валідація цієї роботи: підтвердження того, що посилення витримує тестування в умовах протидії, та виявлення будь-яких залишкових прогалин. Це не огляд побудови з нуля. Ми спеціально шукаємо спеціаліста в моделі безпеки бази даних як API — публічно відкриті ключі клієнтів, що регулюються політиками доступу на рівні рядків — оскільки це наша основна зона ризику. Повний технічний стек буде розкрито після підписання угоди про нерозголошення (NDA).

Підхід до залучення

Ми пропонуємо структуроване, двофазне залучення:

Фаза 1 — Незалежна оцінка чорної скриньки. Ніяка внутрішня документація або попередні висновки не розкриваються. Ви оцінюєте систему так, як це зробив би зовнішній супротивник, створюючи неупереджену оцінку того, чи витримує наше посилення тестування.

Фаза 2 — Огляд прогалин. Після вашого незалежного проходження ми ділимося нашими внутрішніми висновками щодо посилення. Ви підтверджуєте, які елементи дійсно виправлені, і виявляєте те, що ми пропустили.

Ця послідовність зберігає цілісність незалежної оцінки, забезпечуючи при цьому, щоб зусилля не дублювалися щодо питань, які вже відомі нам.

Обсяг роботи

• Тестування проникнення веб-додатка проти OWASP Top 10 (ін'єкції, міжсайтове скриптування, помилки аутентифікації та сесій, порушення контролю доступу та пов'язані категорії).
• Основна увага — шар бази даних як API: огляд політик доступу на рівні рядків, публічне відкриття ключів клієнтів, ескалація привілеїв між ролями користувачів та можливість обходу контролю доступу на стороні клієнта шляхом безпосереднього запиту до бази даних.
• Огляд безпеки бази даних: контролі доступу, зберігання облікових даних, шифрування в спокої, мережеве відкриття та безпека резервного копіювання.
• Оцінка того, як особиста інформація клієнтів (PII) зберігається, передається та захищається.

Необхідні навички та досвід

• Досвід тестування проникнення веб-додатків (будь ласка, надайте редагований зразок звіту).
• Практичний досвід роботи з платформами backend-as-a-service / database-as-API (наприклад, Supabase, Firebase, PostgREST) та політиками безпеки на рівні рядків або еквівалентними моделями доступу з ключами на стороні клієнта — не лише класичними серверними додатками. Це найважливіша вимога.
• Знайомство з безпекою додатків, які обробляють особисті дані.
• Чітка письмова комунікація. Ми виконали внутрішнє посилення і потребуємо незалежної валідації, тому висновки повинні бути пояснені достатньо зрозуміло, щоб не технічне керівництво могло на них реагувати.

Сертифікації (бажано)

• OSWE (Експерт з веб-безпеки Offensive Security)
• OSCP, GWAPT або еквівалентна сертифікація GIAC з веб-додатків також вітається.

Правила залучення

• Динамічне тестування проводиться проти спеціальної копії стадії/пісочниці, яку ми надаємо, а не проти живого виробництва. Будь-яке тестування в продукції вимагає попереднього письмового погодження.
• NDA є обов'язковим перед тим, як будь-яка інформація або технічні деталі будуть розкриті.
• Жодна реальна особиста інформація клієнтів (PII) не може бути ексфільтрована, скопійована або збережена на будь-якому етапі залучення.

Результати

• Письмовий звіт з висновками, ранжованими за серйозністю (Критично / Високо / Середньо / Низько), кожен з яких супроводжується конкретними, дієвими кроками для виправлення.
• Короткий виконавчий підсумок для не технічного керівництва.
• Безкоштовне повторне тестування після того, як ми застосуємо виправлення, щоб підтвердити, що виправлення є ефективними.

Посилання на обсяг (для точних фіксованих цін)

Приблизно 30 таблиць бази даних, відкритих через автоматично згенерований REST API BaaS — основна поверхня атаки, регульована політиками на рівні рядків; плюс ~9 спеціальних безсерверних кінцевих точок; 3–4 ролі користувачів; один орендар.

Щоб подати заявку, будь ласка, включіть

1. Коротку записку про ваш відповідний досвід аудиту BaaS / безпеки на рівні рядків.
2. Редагований зразок звіту або опис того, що містять ваші звіти.
3. Ваш оцінений термін виконання та модель ціноутворення (бажано фіксована плата).
4. Будь-які уточнюючі запитання щодо обсягу.