Размер шрифта: A A A
Цвет сайта: A A A A
Дата опубликования: 06.08.2021 г.
Дата истечения: 10.08.2021 г.
Просмотров: 1224

Техническое задание на проведение анализа защищенности мобильного приложения «APELSIN».

Анализ безопасности приложения включает в себя следующие проверки (не ограничиваясь ими):

1. Сбор информации об объекте исследования

1.1. Изучение документации и структуры приложения, декомпозиция приложений, выделение потенциально уязвимых интерфейсов;
1.2. Анализ сетевого взаимодействия в рамках работы приложений, HTTP-запросов, обращений к файловой системе, буферу обмена, камере и другим ресурсам;

2. Автоматизированное сканирование узлов в области исследования:

2.1. Определение уязвимых и устаревших версий сторонних библиотек, используемых в приложении;
2.2. Сканирование приложений с использованием различных средств анализа защищённости класса DAST (Dynamic Application Security Testing) (для Android), а также SAST (Static Application Security Testing), анализ и верификация результатов;
2.3. Ручная верификация обнаруженных уязвимостей, отсеивание ложных срабатываний и неверно определённых уровней риска.

3. Ручной и полуавтоматический поиск уязвимостей:

3.1. Уязвимости хранения данных (небезопасное логирование, запись секретных данных в общедоступные директории, открытый доступ к сохранённым паролям или сессионным идентификаторам и т. д.);
3.2. Небезопасная передача данных (передача в открытом виде, отсутствие SSL pinning);
3.3. Несоблюдение приватности (секретные данные в общем буфере обмена, кеширование страниц, передача данных на сторонние сервисы);

3.4. Уязвимости WebView (обработка дип-линков, XSS или UI redressing, открытие недоверенных страниц);
3.5. Ошибки криптографии и управления секретами (слабые алгоритмы шифрования, ключи шифрования, пароли, API-ключи в коде приложений);
3.6. Уязвимости обработки внешних данных (обработка URL-схем, QR-кодов, Intent’ов, pasteboard, broadcast receivers);
3.7. Уязвимости логики приложения (атака на округление, некорректная проверка наличия нестандартных условий, состояние гонки, проч. уязвимости бизнес-логики)
3.8. Уязвимости сервера (OS Commanding, внедрение шаблонов на стороне сервера, RCE, выполнение произвольных статических методов Java, внедрение Java-EL выражений, xpath-кода, xquery-кода, SSI Injection и т.д.)
3.9. Прочие недостатки и уязвимости (SQL-инъекции, чтение файлов, слабая защита от реверс-инжиниринга, отображение секретной информации на экране или в уведомлениях и т. д.)

4.1. Попытки эксплуатации уязвимостей, обнаруженных в ходе ручного и автоматизированного сканирования, демонстрация получения доступа;
4.2. Полная или частичная компрометация ресурсов мобильных приложений.

5.1. После исправления Заказчиком, обнаруженных в рамках тестирования уязвимостей Исполнителем будет проведена контрольная перепроверка.
6.1. Написание отчётного документа по проделанным этапам тестирования на проникновение:
6.1.1. Описание целей и задач тестирования, модели нарушителя и угроз;
6.1.2. Описание обнаруженных уязвимостей, их уровней риска, рекомендаций по устранению, описание процесса эксплуатации и способа получения доступа к конфиденциальным данным;
6.1.3. Описание статуса исправления обнаруженных уязвимостей по результатам перепроверки (после соответствующего запроса Заказчика);
6.1.4. Резюме, оценка защищённости Заказчика, описание результатов работ, отображение статистики уязвимостей, описание полученных данных и перечень скомпрометированных узлов;

6.1.5. Приоритизированный перечень общих и частных рекомендаций по устранению текущих уязвимостей и повышению уровня защищённости, созданию процесса информационной безопасности.

Условия оплаты
1. Условия оплаты – 15% предоплата, оставшиеся 85% в течении 10 рабочих дней после факта выполненных работ.
2. Валюта оплаты – UZS (Узбекский Сум), Доллар США, Евро

В случае Вашей заинтересованности просим направить коммерческое предложение согласно форме №1 на следующий адрес:
АКБ «Капиталбанк», Яшнабадский филиал, ул. Махтумкули №1, Управление по закупу Административного департамента 3 этаж.

Также принимаются коммерческие предложения в открытом виде на адрес электронной почты [email protected] не позднее указанного срока.
Контактное лицо для получения дополнительной информации: Фаттахов Руслан, e-mail: [email protected] Моб. тел.: +(998) 90 370 00 65
Срок подачи предложений до 12:00, 10 августа 2021 года

2 - форма №2 Анкета участника


Опрос

Довольны ли Вы качеством обслуживания в АКБ "Капиталбанк"?
Нажмите чтобы прослушать выделенный текст! Powered by GSpeech