Анализ уязвимостей веб-сайта программы лояльности (pentest)
Страница состоит из нескольких частей:
- публичный лендинг для регистрации: описание программы лояльности, форма вступления в программу (имя, телефон, имейл)
- приватная часть: после перехода по короткой ссылке из СМС, открывается персонализированный сайт, где можно узнать разные аспекты своего участия, увидеть персональные скидки, баланс кешбек программы и т.п.
- форма восстановления доступа к аккаунту при потере одного из каналов связи
- уязвимости формы регистрации (в том числе атака на слитие баланса СМС-отправщика и т.п.)
- атака на короткие ссылки (брутфорс и т.д.)
- XSS и подобные атаки на авторизованную зону
- "плохое поведение" авторизованного пользователя (к примеру, запостить миллион мегабайт левых данных в свой профиль и т.п.)
- уязвимости формы восстановления доступа
- любые другие атаки, которые приходят на ум
Я ожидаю, что вы профессионально занимаетесь веб-безопасностью и penetration testing. Расскажите пожалуйста о своем опыте в этом деле.
Полагаю, что это почасовой проект, буду рад услышать ваши оценки.
Спецификации и доступы - после обсуждения проекта в ЛС.