Zlecenie 7390003 - Wykonanie testów bezpieczeństwa aplikacji mobilnej...

Muzea z systemem CMS. Aplikacja mobilna O!Polskie Muzea jest projektem dofinansowanym przez Ministerstwo Kultury i Dziedzictwa Narodowego w ramach programu Kultura Cyfrowa. Zakres przedmiotu zamówienia obejmuje:
Testy aplikacji mobilnych Android oraz iOS (ok. 7 unikalnych widoków). Testy metodą whitebox lub greybox powinny dotyczyć w szczególności:
analizy podatności Cross-Site Scripting
sprawdzenia, czy zaimplementowany został mechanizm pinningu certyfikatów,
analizy sposobu nawiązywania połączenia SSL/TLS z komponentem serwerowym pod kątem poprawności sprawdzania certyfikatu serwera,
analizy sposobu przechowywania przez aplikację danych uwierzytelniających oraz innych poufnych danych w pamięci masowej telefonu (np. w plikach konfiguracyjnych, plikach cache, plikach tymczasowych, bazach sqlite, we współdzielonej pamięci masowej itp.) pod kątem możliwości wycieku tych danych w razie kradzieży telefonu lub zainstalowania złośliwej aplikacji,
Testy systemu CMS (ok. 10 podstron, 2-3 grupy użytkowników). Testy metodą blackbox powinny dotyczyć w szczególności:
próby lokalizacji ukrytych katalogów i plików
próby wywołania błędów / wyjątków w aplikacji
poszukiwania wycieków danych (np. technika google hacking, analiza pliku robots.txt).
poszukiwania podatności klas: SQL Injection, Xpath Injection, NoSQL Injection, XXE, XSS - reflected oraz stored
analizy problemów z uwierzytelnianiem i autoryzacją (np. próby dostępu do zasobów bez uwierzytelnienia, próby dostępu do zasobów administracyjnych przez zwykłego użytkownika, próby przełamania ekranów logowania-w tym próby brute force danych dostępowych)
możliwości otrzymania nieautoryzowanego dostępu na poziomie systemu operacyjnego i uzyskanie w ten sposób dostępu do źródeł aplikacji, bazy danych, innych poufnych informacji
analiza błędów logicznych
próby wykrycia innych, znanych podatności, np.: path traversal, open redirection, cross site request forgery, server side request forgery, server side template injection.
detekcja ogólnie znanego oprogramowania (aplikacje, biblioteki, systemy wspomagające). Po wykryciu nieaktualnych wersji, próby lokalizacji znanych, istotnych podatności w kilku wybranych źródłach
Testy powinny być wykonane zgodnie z metodologiami:
OWASP TOP 10 (bezpieczeństwo aplikacji webowych, bezpieczeństwo aplikacji mobilnych)
OWASP ASVS w zakresie testów aplikacji webowych
OSSTMM ogólne prowadzenie prac audytowych
Wykonawca zobowiązuje się do ponownego wykonania testów oraz w razie potrzeby retestów (max 1 retesty) po usunięciu zgłoszonych błędów przez Zamawiającego.
Dla potrzeb realizacji przedmiotu zamówienia, Wykonawca będzie zobowiązany zapewnić, korzystając z własnych zasobów kadrowych, zespół projektowy do wykonania przedmiotu zamówienia w skład którego wchodzić będzie przynajmniej 1 osoba, posiadająca ważny certyfikat Certified Information Systems Security Professional oraz OSCP (Offensive Security Certified Professional). Kopie certyfikatów jw. poświadczone za zgodność z oryginałem Wykonawca zobowiązany jest przedłożyć Zamawiającemu wraz z ofertą.
Wykonawca powinien wykazać wraz ze złożeniem oferty a to pisemnym dokumentem referencji wystawionym przez zleceniodawcę tego zadania doświadczenie własne w prawidłowej realizacji-nie wcześniejszej niż 3 lata przed datą ogłoszenia niniejszego zapytania ofertowego - minimum dwóch (dwóch) realizacji z zakresu testu i audytu bezpieczeństwa aplikacji udostępnianych za pośrednictwem sieci Internet o wartości każdej takiej realizacji z osobna nie mniejszej niż 5000,00 zł netto.