SAMURAI Securityはデザインとエンジニアリングを介してブロックチェーンの秩序を保つ守護者となり、自律分散型のブロックチェーン治安ネットワークをつくることを目的とした会社です。
OWASP Top10観点での脆弱性チェック(3h目処) その他(システム開発)の仕事の依頼
仕事の概要
|
固定報酬制
|
5,400円
|
|---|---|
|
納品完了日
|
2018年07月08日 |
|
掲載日
|
2018年07月02日 |
|
応募期限
|
2018年07月04日 |
応募状況
| 応募した人 | 1 人 |
|---|---|
| 契約した人 | 0 人 |
| 募集人数 | 3 人 |
| 気になる!リスト | 2 人 |
仕事の詳細
|
【 企業・用途など 】向けのシステムを開発したいと考えており、 セキュリティ関連の システムエンジニアの方々を募集します。 お仕事の詳細: ▽システム開発依頼の目的・概要 指定サイトの脆弱性調査 認証、他人データが取得されるとセキュリティリスクのあるAPIの調査 (全部で5〜10API程度) 開発環境:Django(Python) OWASP Top 10 - 2017 の観点でチェックしていただける方 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf ============ A1:2017-インジェクション →全てORMのプレースホルダーを利用しております。また一切のOSコマンドは発行しておりません。 特に不要かと思います。 A2:2017-認証の不備 →ぜひ確認をお願いしたい。 A3:2017-機微な情報の露出 →ぜひ確認をお願いしたい。 A4:2017-XML 外部エンティティ参照 (XXE)[NEW] →未使用 A5:2017-アクセス制御の不備 [マージ] →ぜひ確認をお願いしたい。 A6:2017-不適切なセキュリティ設定 →ぜひ確認をお願いしたい。 A7:2017-クロスサイトスクリプティング (XSS) →APIレスポンスを利用した、innerHTML, jsの実行許容箇所がないため、不要 A8:2017-安全でないデシリアライゼーション [NEW,コミュニティ] →当方の知識が不足しております。おそらく不要と思います。 A9:2017-既知の脆弱性のあるコンポーネントの使用 →今回はAPIの調査のみのため、不要 A10:2017-不十分なロギングとモニタリング[NEW,コミュニティ] →今回はAPIの調査のみのため、不要 ============ ▽重要視する点・経験 ・セキュリティ試験の経験 ▽注意点・禁止事項 ・試験にて得た情報の他者への一切の開示は禁止させていただきます。 ▽その他コメント ・余暇を利用して2,3時間を基準にセキュリティチェックをお願いします。 ・対象システム、ユーザについては契約後に展開させていただきます。 ・OWASP ZAPによる検証は別途行なっているため、同試験は不要です。 手動チェックのみお願い致します。 |
| 特記事項 |
|---|
|
|
クライアント情報
最近応募したクラウドワーカー
| クラウドワーカー | 応募日時 |
|---|---|
stqp
|
2018/07/04 13:31 |
