Перейти до основного змісту

Звертаємось до всіх розробників, дизайнерів, DevOps спеціалістів та креативників: ваші навички заслуговують на 4%, а не на 20%. Клієнти: отримуйте якість, платіть чесно, залишайтеся захищеними.

Аудит безпеки та пентестинг

Професійні послуги «Security Audit & Penetration Testing» з гарантованою якістю та своєчасною доставкою. Досвідчені фрілансери готові втілити ваш проект у життя.

Кібербезпека
3
Доступні пропозиції
$350.00
Початкова ціна
N/A
Сер. термін доставки
Очистити

Доступні пропозиції (3)

Ольга Петренко
Фрілансер

Професійні Аудит безпеки та пентестинг

<p>Високоякісні послуги Аудит безпеки та пентестинг зі швидкою доставкою. Роки досвіду в індустрії.</p>

Від $92.00
3 днів доставка
Детальніше
H
Hans Wagner
Фрілансер

Тестування на проникнення (веб-додатк)

<p>Виявіть вразливості безпеки раніше, ніж хакери почнуть етично перевіряти захист вашого веб-додатку. Це залучення тестування на проникнення включає: визначення обсягу консультацій, визначення обсягу тестування, правил застосування, IP-адрес і заборонених зон, розвідку та збір інформації про ціль за допомогою OSINT та пасивних методів, а також документацію плану тестування, що окреслює методологію, інструменти та графіки тестування. Оцінка вразливостей включає: автоматизоване сканування за допомогою інструментів, таких як Burp Suite, OWASP ZAP або Nessus, які виявляють поширені вразливості, ручне тестування з практичним тестуванням бізнес-логіки, автентифікації та потоків авторизації, а також картографування поверхонь атаки, що документує всі точки входу (форми, API, завантаження файлів, параметри) для тестування. Тестування автентифікації та управління сесіями включає: спроби перебору, тестування форм входу для обмеження швидкості та захисту від блокування акаунта, підбор облікових даних, спроби витікання облікових даних через витоки даних, перевірку повторного використання паролів, викрадення сесії, спроби викрасти або передбачити токени сесії, тайм-аут для перевірки закінчення сесій після бездіяльності, запобігання несанкціонованому доступу, а також проблеми зі скиданням паролів, перевірка проблем із скиданням паролів, перевірка вразливостей у захопленні акаунта. Тестування авторизації та контролю доступу включає: підвищення привілеїв при спробі отримати доступ до функцій з вищими привілеями з облікового запису з низьким привілеєм, незахищені прямі посилання на об'єкти з доступом до даних інших користувачів шляхом маніпулювання ідентифікаторами в URL або запитах, примусове переглядання обмежених сторінок за вгадуванням URL, горизонтальне підвищення привілеїв при доступі до ресурсів з однаковим рівнем привілеїв, але з різним користувачем, а також вертикальне підвищення привілеїв для отримання адміністраторського доступу з облікового запису користувача. Тестування валідації вхідних даних включає: SQL-ін'єкцію, що намагається впровадити SQL-команди у вхідні поля, доступ або зміну бази даних, крос-сайтове скриптування (XSS) з ін'єкцією JavaScript для крадіжки файлів або виконання дій від імені користувача, ін'єкція команд для виконання системних команд через вразливі вхідні дані, ін'єкція XML/XXE з використанням XML-парсерів для читання файлів або проведення SSRF-атак, а також тестування LDAP/NoSQL ін'єкцій даних на наявність вразливостей ін'єкцій. Тестування бізнес-логіки включає: обхід робочого процесу, обхід запланованих потоків процесів (наприклад, пропуск етапу оплати), умови гонки, які використовують проблеми з таймінгом у одночасних запитах, маніпуляції цінами, зміна цін або кількості у кошику для покупок, перелік акаунтів для визначення дійсних імен користувачів або електронних адрес, а також зловживання функціями з використанням легітимних функцій для непередбачених цілей. Вразливості при завантаженні файлів включають: шкідливе завантаження файлів із спробою завантажити веб-оболонки або виконувані файли, обхід валідації типів файлів, обхід обмежень типу файлів за допомогою підробки контенту або трюків розширення, завантаження файлів через шлях у довільні місця, що потенційно перезаписує критичні файли, а також тестування обмежень розміру файлів для DoS через великі завантаження файлів. Тестування безпеки API включає: тестування REST API для перевірки автентифікації, авторизації та валідації вхідних даних у кінцевих точках API, інтроспекцію GraphQL з використанням виявлення відкритих схем і виявлення прихованих полів або запитів, тестування з обмеженням швидкості API на відсутність тротлінгу, що дозволяє скрапінг або DoS, масове призначення для зміни властивостей об'єктів, які не призначені для редагування користувачам, та тестування версій API на наявність слабких місць у версіях API. Вразливості на стороні клієнта включають: XSS на основі DOM, що експлуатує JavaScript-вразливості в клієнтському коді, підробку крос-сайтових запитів (CSRF), що змушує користувача виконувати небажані дії, клікджекінг, змушуючи користувачів кликати прихованими елементами, відкриті редиректи з використанням використання URL-адрес для фішингу, а також тестування локального зберігання HTML5, postMessage, CORS для питань безпеки. Криптографічне тестування включає: слабке шифрування, що ідентифікує використання застарілих алгоритмів (MD5, SHA1, DES), ТЕСТУВАННЯ КОНФІГУРАЦІЇ SSL/TLS НА СЛАБКІ ШИФРИ, ПРОБЛЕМИ З СЕРТИФІКАТАМИ АБО ВРАЗЛИВОСТІ ПРОТОКОЛІВ, ПЕРЕВІРКУ ЧУТЛИВИХ ДАНИХ НА НАЯВНІСТЬ ПАРОЛІВ, ТОКЕНІВ АБО PII У ВІДПОВІДЯХ АБО ЖУРНАЛАХ, А ТАКОЖ НЕБЕЗПЕЧНІ ВИПАДКОВІ ЧИСЛА, ЩО ПЕРЕВІРЯЮТЬ ГЕНЕРАЦІЮ ВИПАДКОВИХ ЧИСЕЛ НА ПЕРЕДБАЧУВАНІСТЬ. Тестування інфраструктури включає: неправильне налаштування сервера з виявленням непотрібних сервісів, стандартні облікові дані або розкриття інформації, перевірку HTTP-заголовків безпеки для перевірки CSP, HSTS, X-Frame-Options, вразливості веб-серверів, тестування вразливостей веб-серверів Apache, Nginx, IIS на наявність відомих експлойтів, а також неправильне налаштування контейнерів/хмар, якщо застосовно, тестування Docker, Kubernetes або хмарних сервісів на наявність прогалин у безпеці. Охоплення OWASP Top 10 включає: вразливі вразки SQL, команди, LDAP, тестування XPath, управління сесіями автентифікації, MFA, слабкі сховища облікових даних, шифрування розкладу конфіденційних даних, HTTPS, перевірку захисту даних, XXE-атаки зовнішніх сутностей XML на парсери XML, порушення авторизації контролю доступу та підвищення привілеїв, сервер неправильної конфігурації безпеки, додатк, перевірку конфігурації бази даних, XSS відображений, збережений, крос-сайтове скриптування на основі DOM, незахищена десеріалізація, що експлуатує серіалізацію об'єктів для RCE, використання компонентів із вразливостями, застарілими бібліотеками та залежностями, а також недостатню кількість можливостей для виявлення та реагування журналів. Соціальна інженерія (за бажанням) включає: фішингову симуляцію, тестування вразливості працівників до фішингових листів, спроби витягти інформацію через видавання себе за себе, фізичну безпеку на місці, тестування доступу до бейджа, tailgateing або пошук у сміттєвих баках. Звітність включає: коротке резюме, огляд загального рівня висновків і бізнес-ризиків для нетехнічних зацікавлених сторін, технічні висновки, детальні описи вразливостей із доказами (скріншоти, запит/відповідь), оцінки тяжкості CVSS, оцінку та класифікацію пріоритетів (критична, висока, середня, низька), рекомендації щодо усунення конкретних рекомендацій щодо усунення кожної вразливості з прикладами коду, якщо це застосовно, а також картування відповідності, пов'язане з результатами PCI DSS, HIPAA, SOC 2 або інші відповідні фреймворки. Підтримка усунення включає: консультацію розробників для обговорення результатів із командою розробників, які відповідають на запитання, повторне тестування після виправлення, перевірку належного усунення вразливостей протягом 30-60 днів, а також перегляд коду за запитом, перегляд патчів перед розгортанням, щоб вони не створили нових проблем. Результати включають: звіт про тестування на проникнення, комплексний документ з висновками, доказами та кроками усунення, результати експорту баз даних вразливостей у CSV або JSON для імпорту в системи відстеження, код, очищений код, що демонструє вразливості для розробників, а також лист із сертифікатом безпеки, що підтверджує завершення тестування та чистий рівень безпеки. Відповідність та етика включають: авторизоване тестування, що виконує всі дії з письмовим дозволом і визначеним обсягом, відповідальне розкриття інформації з приватним звітом про виявлення вразливостей після скоординованого розкриття вразливості, захист даних, який не витягує або не зберігає виявлені конфіденційні дані клієнтів, а також дотримання законів відповідно до CFAA, GDPR та інших чинних законів. Ідеально підходить для SaaS-компаній, які готуються до аудиту чи сертифікацій безпеки (SOC 2, ISO 27001), фінтех-додатків, що обробляють фінансові дані, що потребують відповідності PCI DSS, медичних додатків, що обробляють PHI, що потребують валідації безпеки за HIPAA, та підприємств, які проводять щорічні оцінки безпеки або перевірку перед придбанням.</p>

Детальніше
Анна Морозенко
Фрілансер

Аудит безпеки та загартування вебсайту

<p>Захистіть свій вебсайт від хакерів, шкідливого ПЗ та витоків даних за допомогою комплексної оцінки безпеки та впровадження найкращих практик. Ця служба безпеки включає: початкове сканування безпеки за допомогою автоматизованих інструментів (Sucuri, Wordfence, Qualys), виявлення вразливостей, шкідливого ПЗ або проблем із безпекою, ручне тестування на проникнення при спробі поширених векторів атак (SQL-ін'єкції, XSS, CSRF), виявлення слабкостей, які автоматизовані сканування пропускають, а також оцінку ризиків, пріоритетне визначення вразливостей за серйозністю та потенційним впливом на бізнес. Виявлення та видалення шкідливого ПЗ включають: сканування цілісності файлів, порівняння файлів сайтів із чистими версіями, виявлення несанкціонованих змін, відповідність підписів шкідливого ПЗ, ідентифікацію відомих сортів або бекдорів у коді, ручний перегляд коду, перевірку підозрілих файлів у пошуках прихованого коду або прихованих експлойтів, а також видалення шкідливого ПЗ, очищення заражених файлів і визначення точки входу, що запобігає повторному зараженню. Патчі вразливостей включають: оновлення CMS, оновлення WordPress, Joomla, Drupal або іншої CMS до останньої захищеної версії, оновлення плагінів/тем, які виправляють усі розширення до поточних версій, закривають відомі прогалини в безпеці, оновлення залежностей, що забезпечують актуальність бібліотек, таких як jQuery, PHP або пакети Node, а також виправлення власного коду, що виправляє проблеми безпеки у спеціально розроблених функціях або інтеграціях. Закріплення контролю доступу включає: політику сильних паролів, що забезпечує застосування складних паролів і багатофакторну автентифікацію для облікових записів адміністратора, аудит дозволів користувачів, перегляд ролей користувачів, видалення непотрібних прав за принципом мінімальних привілеїв, очищення неактивного акаунта, вимкнення старих акаунтів для попередніх співробітників або підрядників, а також обфускацію URL адміністратора, що ускладнює автоматичні атаки. Безпека серверів і хостингу включає: конфігурацію SSL/TLS, встановлення або оновлення SSL-сертифікатів, забезпечення HTTPS із сильним шифруванням (TLS 1.2+), налаштування міжмережевого екрану, реалізацію фаєрволу веб-додатків (WAF), блокування шкідливого трафіку до досягнення вебсайту, налаштування прав на файли, запобігання несанкціонованим змінам файлів, індексування каталогів, відключення перегляду каталогів, приховування структури файлів від зловмисників. Специфічне для WordPress загартування (якщо застосовно) включає: wp-config.php захист конфігураційного файлу за допомогою ключів безпеки, вимкнення редагування файлів і змін префіксів бази даних, вимкнення XML-RPC, якщо це не потрібно, запобігання грубій силі та DDoS-атакам через цю кінцеву точку, захист від входу, реалізацію обмеження швидкості, CAPTCHA або IP-білий список, що запобігає атакам грубою силою, а також обмеження адміністративної зони, що обмежують доступ за IP-адресою або вимагають додаткової автентифікації. Безпека баз даних включає: запобігання SQL-ін'єкціям, перевірку та дезінфікацію всіх запитів до бази, що запобігають несанкціонованому доступу до даних, захист даних даних за допомогою надійних унікальних паролів, збережених поза веб-коренем, зміну префікса таблиці бази даних із стандартного, що ускладнює автоматизовані атаки, а також резервне копіювання шифрування, що захищає конфіденційні дані клієнтів. Реалізація резервного копіювання включає: автоматизоване резервне копіювання, налаштування щоденних або щотижневих резервних копій у віддалені локації (хмарне сховище, віддалений сервер), тестування резервних копій, періодичне відновлення резервних копій у середовище staging, перевірку цілісності, політику збереження, налаштування ротації резервних копій тривалістю 30-60 днів, забезпечення варіантів відновлення, а також план аварійного відновлення з документуванням процедур відновлення для швидкого відновлення після витоку. Моніторинг безпеки включає: моніторинг безперервної роботи, налаштування сповіщень про простої сайту, виявлення атак або технічних збоїв, моніторинг змін файлів, відстеження змін у основних файлах, сповіщення про несанкціоновані зміни, сканування шкідливого програмного забезпечення, планування регулярних сканувань, раннє виявлення інфекцій, а також моніторинг чорних списків, перевірку, чи з'являється ваш сайт у Google, Norton чи інших чорних списках, що впливають на репутацію. Заголовки та політики включають: заголовки безпеки, що реалізують CSP, X-Frame-Options, X-XSS-Protection, що запобігає клікджекінгу та XSS-атакам, конфігурацію HSTS, що примушує HTTPS-з'єднання, що запобігає атакам man-in-the-middle, політику реферера, що контролює інформацію, що надсилається третім сторонам, що захищає конфіденційність користувачів, а також політику функцій, що вимикає непотрібні функції браузера, зменшуючи поверхню атаки. Перевірка інтеграції сторонніми сторонами включає: аудит API безпеки ключів API, реалізації OAuth для забезпечення безпечної комунікації з зовнішніми сервісами, платіжний шлюз, що перевіряє відповідність PCI DSS для обробки платежів, що захищає дані про картки клієнтів, скрипти відстеження для перевірки аналітики, реклами чи скриптів соціальних мереж на предмет ризиків безпеки чи витоку даних, а також конфігурацію CDN, що захищає мережу доставки контенту, запобігаючи отруєнню кешу або викраденню. Безпека коду включає: перевірку вхідних даних, реалізацію серверної валідації для всіх користувацьких введень, що запобігає впровадженню коду, кодування вихідних даних у HTML, JavaScript, SQL контексти, що запобігають XSS-атакам, захист CSRF, додавання токен у форми, що запобігає підробці міжсайтових запитів, а також безпеку сесії, що захищає сесійні cookie за допомогою httpOnly, secure та SameSite flags. Відповідність і стандарти включають: готовність до GDPR, якщо це застосовно, забезпечення згоди на файли cookie, політику конфіденційності та заходи захисту даних, PCI DSS при обробці платежів, перевірку відповідності стандартам безпеки індустрії карток, HIPAA для обробки медичних даних, впровадження шифрування та контролю доступу для захисту PHI, а також найкращі галузеві практики відповідно до рекомендацій OWASP Top 10 щодо найкритичніших ризиків безпеки веб-сайтів. Документація з безпеки включає: звіт про вразливості, що документує всі виявлені проблеми з оцінками серйозності та кроками усунення, контрольний список із переліком усіх впроваджених заходів безпеки зі статусом до/після, план реагування на інциденти, що надає процедури реагування на порушення безпеки або компрометацію, а також розробку політик безпеки для вашої команди або розробників, що підтримують безпеку. Після усунення процедури включають: повторне сканування, перевірку безпеки після виправлення, підтвердження усунення вразливостей, видачу сертифіката безпеки або печатку для сайту, якщо чисто, формування довіри клієнтів, 30-денний моніторинг включає моніторинг протягом 30 днів після загартування з виявленням нових проблем, а також квартальний перегляд додаткового поточного аудиту безпеки кожні 3-6 місяців для підтримки захисту. Навчання та освіта включають: навчання з безпеки, навчання вашої команди гігієні паролів, обізнаності про фішингу та безпечним практикам, найкращих практик адміністрації, які документують процедури оновлень, резервних копій і управління доступом, а також навчання команди з процедур інцидентів з розпізнавання та реагування на інциденти безпеки. Ідеально підходить для сайтів електронної комерції, що захищають оплату та особисту інформацію клієнтів, членських сайтів, що захищають облікові записи користувачів і приватного контенту, бізнес-сайтів, які зберігають довіру та уникають чорного списку чи зламів, а також агентств, що керують сайтами клієнтів, що забезпечують безпеку та відповідність вимогам усіх об'єктів.</p>

Детальніше

Згода на використання файлів cookie

Ми використовуємо файли cookie, щоб забезпечити вам найкращий досвід роботи на нашому сайті. Основні файли cookie завжди активні. Прочитайте політику конфіденційності

Основні файли cookie (завжди активні) Потрібно

  • freela-session: Сесія Laravel для автентифікації та управління станом
  • XSRF-TOKEN: Токен захисту CSRF
  • cookie_consent: Зберігає ваші налаштування файлів cookie

Необов'язкові файли cookie

  • theme: Зберігає ваші налаштування темного/світлого режиму