Протестировать: сайт, мобильное приложение. Конфиденциальный проект уровня «Гамма» ОБЩЕЕ ОПИСАНИЕ СИСТЕМЫ (БЕЗ РАСКРЫТИЯ ИДЕНТИФИКАТОРОВ) Высоконагруженная распределённая платформа с гибридной архитектурой: Фронтенд: SPA (React 18 + WebAssembly модули для криптографии) + SSR на Next.js Бэкенд: Микросервисы (Go 1.22, Rust для критичных компонентов) + gRPC между сервисами Хранилища: PostgreSQL (шифрование на уровне колонок), Redis Cluster, Cassandra для временных данных Интеграции: Блокчейн-оракул (симуляция), внешние платежные шлюзы, гео-распределённые CDN Особенности: Динамическая логика временных меток с зависимостью от NTP-кластера Мультиверсионная система состояний (MVCC) с изоляцией «временных веток» Клиентское шифрование данных (AES-256-GCM + пользовательский ключ в Web Crypto API) ML-детектор аномалий поведения (TensorFlow.js в браузере + серверная модель) ГЛУБОКОЕ ТЕХНИЧЕСКОЕ ЗАДАНИЕ (ТРЕБОВАНИЯ К ТЕСТИРОВАНИЮ) 1. АНАЛИЗ КРИПТОГРАФИЧЕСКОЙ РЕАЛИЗАЦИИ Проверить генерацию и управление IV/nonce в AES-GCM: поиск повторного использования, предсказуемости Проанализировать обмен ключами: уязвимости к атакам на время (timing attacks) при валидации подписей Проверить изоляцию ключей в Web Crypto API: возможна ли утечка через Service Worker или IndexedDB? Требуемый результат: Доказательство компрометации данных без знания пользовательского пароля (PoC + анализ трафика) 2. ТЕСТИРОВАНИЕ КОНКУРЕНТНОСТИ НА УРОВНЕ СИСТЕМЫ Сымитировать 15 000 параллельных сессий с отправкой данных в последние 500 мс временного окна Выявить: Гонки при обновлении состояния «временных веток» Нарушение изоляции данных между сессиями (через кэш браузера, SharedArrayBuffer) Неконсистентность данных после отката транзакции в оракуле Инструменты: Кастомный нагрузочный скрипт (Go/Python) + анализ логов через Loki/Grafana Требуемый результат: Воспроизводимый сценарий нарушения целостности данных с дампом состояния БД до/после 3. ГЕО-ЛОГИЧЕСКИЙ АУДИТ Протестировать обработку временных зон при пересечении границ: Сценарий: пользователь в зоне +14:00 делает действие в 23:59, сервер в зоне -11:00 обрабатывает в 00:01 следующего дня Проверить корректность перехода на летнее/зимнее время (особенно для регионов с нестандартными правилами: Иордания, Чили) Требуемый результат: Доказательство логической ошибки в расчёте временных меток с указанием точек отказа в коде (стек вызовов) 4. АНАЛИЗ УСТОЙЧИВОСТИ ML-КОМПОНЕНТА Разработать адверсариальные примеры для обхода детектора аномалий: Подделка поведенческого паттерна (мышь, тач, временные задержки) Генерация трафика, имитирующего легитимного пользователя при злонамеренных действиях Проверить утечку данных через модель ( membership inference attack ) Требуемый результат: Набор входных данных, обманывающих модель + метрики снижения точности (F1-score) 5. ЭКСТРЕМАЛЬНЫЕ СЦЕНАРИИ ВОССТАНОВЛЕНИЯ Имитировать: Обрыв связи с оракулом во время финализации транзакции Сбой NTP-кластера ? рассинхрон времени на ±10 минут Переполнение локального хранилища (IndexedDB > 2 ГБ) Требуемый результат: Доказательство необратимой потери данных или нарушения согласованности после восстановления системы ТРЕБОВАНИЯ К ОТЧЁТУ (СТРОГО) Структура: CVSS 3.1 вектор + обоснование скоринга Шаги воспроизведения (с указанием окружения: ОС, браузер, версия) Доказательства: Видео с отладочной информацией (консоль, сетевые запросы, стек вызовов) PoC-код (на Python/Go/JS) с комментариями Анализ корневой причины (ссылка на строку кода, если доступен) Предложение по исправлению (патч в формате diff + обоснование) Формат: Подписанный PGP отчёт в формате PDF + архив с доказательствами.