Разработка сайта для мероприятий на платформе Тильда
Необходимо сверстать и запустить сайт для анонсирования мероприятий с интеграцией платежной системы. Дизайн-макет предоставляется.
О проекте и цели аудита
Мы ищем опытного специалиста по информационной безопасности для проведения независимого аудита (пентеста) веб-приложения. Цель - выявить критические уязвимости в архитектуре, логике работы и взаимодействии с облачными сервисами, а также проверить реальный уровень защиты от атак.
Режим тестирования
- Black box / Grey box: Исполнитель работает от лица внешнего злоумышленника, получая ограниченный (или нулевой) доступ к исходному коду и внутренним системам.
Технологический стек и инфраструктура
- Базовый фреймворк: Laravel (PHP) - основная бэкенд-логика.
- Сервер и прокси: Nginx (High Performance Load Balancer).
- Виртуализация: Docker (консолидированная среда развертывания).
- Защита на периметре: Cloudflare (Web Application Firewall + CDN).
- API: RESTful интерфейсы для взаимодействия сервисов.
Основные направления проверки
Безопасность прикладной логики
- Уязвимости инъекций (SQLi (Л/И), LFI/RFI, XSS).
- Аутентификация и управление сессиями (CSRF, хрупкое восстановление паролей).
- Проблемы авторизации (IDOR, Privilege Escalation).
- Управление файлами (загрузка анпикчар, директоритраверал).
Конфигурация и инфраструктура
- Оценка политик доступа и безопасности Docker-контейнеров.
- Проверка отключения HTTP-методов и прав на сервере (Nginx).
- Анализ обхода WAF (Cloudflare) и скорость обнаружения подозрительной активности.
API
- Проверка лимитов API (rate-limiting).
- Безопасная передача аргументов (token/query body).
Ожидаемый результат
- Докладе & Презентация угроз: подробный текстовый отчет с цветосюзами VTScore и доказательствами эксплуатации.
- Вектор: Clear выданное заключение по метрикам OVA, или демонстрация атаки PoC в случае ее удачного завершения педлож х одному сотруднику безопасности.
Откликнемся на заявки от проверенных специалистов со стажем 7+ лет в тематике пентестов.