Opis zlecenia
Wymagane:
1. Posiadanie doświadczenia w wykonywaniu testów bezpieczeństwa, przewagą będzie potwierdzenie referencjami.
2. Posiadanie przynajmniej certyfikatu OSCP
3. Przewagą będzie posiadanie certyfikatu wyższego, np. eWPT, CREST CRT/CCT, CPTC
4. Możliwość udostępnienia przykładowego raportu lub zakresu informacji, jakie będę w raporcie.
5. Dostępność pod koniec marca, na początku kwietnia.
Do wykonania są testy API oraz GUI w zakresie:
1. SQL Injection.
2. Broken Authentication and Session Management.
3. Insecure Direct Object References.
4. Security Misconfiguration.
5. Sensitive Data Exposure.
6. Missing Function Level Access Control.
7. Cross-Site Request Forgery.
8. Using Components with Known Vulnerabilities.
9. Unvalidated Redirects and Forwards.
10. Penetracja niepublicznych zasobów serwera.
Produkty zlecenia:
1. Profesjonalny raport opisujący zakres wykonanych testów, obszary, które przeszły pomyślnie, oraz wykryte podatności i zalecenia co wymaga skorygowania.
2. Przewagą oferty będzie dodatkowa lista scenariuszy testowych do potrzeb dokumentacyjnych.
Dokumentacja musi być w języku polskim.
W cenie powinny być uwzględnione retesty po wykonaniu poprawek.
Płatność może być podzielona na dwie transze - po pierwszej turze testów i po retestach.
Strona ok 30 endpointów w API i ok 10-15 stron GUI, autoryzacja dostępu, SSL.
Detale będę mógł udostępnić po złożeniu oferty a następnie podpisaniu NDA, wcześniej proszę pytać o rzeczy, które wpłyną na koszt.