Информационная безопасность — удалённая работа в Москве

Защитить: сервер. Техническое задание На внешнее тестирование безопасности удалённого сервера (black-box, без внутренних доступов) Цель Провести внешнее тестирование безопасности публично доступного Linux-сервера (black-box режим). Необходимо выявить уязвимости, которые могут быть использованы для получения несанкционированного доступа, раскрытия информации, отказа в обслуживании или выполнения кода исключительно по сети, без входа на сервер. Область тестирования (Scope) 1. Сетевая поверхность Сканирование открытых портов (TCP/UDP). Определение активных сервисов, версий, fingerprinting ОС и middleware. Анализ конфигурации firewall на предмет утечек, открытых нестандартных сервисов. Проверка на экспонирование внутренних сервисов (например, docker, redis, debug-серверы). 2. Протоколы и шифрование Проверка TLS/SSL конфигурации (поддержка устаревших протоколов, HSTS, forward secrecy, сертификаты). Анализ открытых сервисов на предмет использования небезопасных протоколов (FTP, Telnet, SMB, и т.д.). 3. Уязвимости публичных сервисов Поиск CVE, характерных для ОС и обнаруженных сервисов (nmap + vulners, whatweb, etc). Тестирование на наличие известных уязвимостей (RCE, LFI, SSRF, directory traversal, etc). Проверка HTTP/HTTPS-сервисов на: Отдачу чувствительных файлов (.env, конфиги, логи) Directory listing Неавторизованные панели или эндпоинты Ошибки конфигурации (CORS, CSP, MIME-sniffing и др.) 4. Устойчивость к атакам Тестирование поведения при перегрузке/slowloris-атаках (ограничено по интенсивности). Проверка защиты от brute-force (rate-limit, lockout). Fuzzing URL-путей, параметров, заголовков (XSS, injection, CRLF и др.). 5. Метаданные и избыточная информация Анализ HTTP-заголовков на наличие лишней информации (технологии, версии, debug-флаги). Проверка содержимого robots.txt, sitemap.xml, headers, ошибки 4xx/5xx на утечки. Проверка на наличие открытых бакетов, файлов конфигурации, history-файлов.