Zlecenie 7390003 - Wykonanie testów bezpieczeństwa aplikacji mobilnej...
(zakończone) | Zamówienie 7390003|
---|---|
źródło | Internet |
data publikacji | 2020-03-17 |
przedmiot zlecenia | Wykonanie testów bezpieczeństwa aplikacji mobilnej O!polskie Muzea z systemem CMS. wykonanie testów aplikacji mobilnej O!polskie Muzea z systemem CMS. Aplikacja mobilna O!Polskie Muzea jest projektem dofinansowanym przez Ministerstwo Kultury i Dziedzictwa Narodowego w ramach programu Kultura Cyfrowa. Zakres przedmiotu zamówienia obejmuje: Testy aplikacji mobilnych Android oraz iOS (ok. 7 unikalnych widoków). Testy metodą whitebox lub greybox powinny dotyczyć w szczególności: analizy podatności Cross-Site Scripting sprawdzenia, czy zaimplementowany został mechanizm pinningu certyfikatów, analizy sposobu nawiązywania połączenia SSL/TLS z komponentem serwerowym pod kątem poprawności sprawdzania certyfikatu serwera, analizy sposobu przechowywania przez aplikację danych uwierzytelniających oraz innych poufnych danych w pamięci masowej telefonu (np. w plikach konfiguracyjnych, plikach cache, plikach tymczasowych, bazach sqlite, we współdzielonej pamięci masowej itp.) pod kątem możliwości wycieku tych danych w razie kradzieży telefonu lub zainstalowania złośliwej aplikacji, Testy systemu CMS (ok. 10 podstron, 2-3 grupy użytkowników). Testy metodą blackbox powinny dotyczyć w szczególności: próby lokalizacji ukrytych katalogów i plików próby wywołania błędów / wyjątków w aplikacji poszukiwania wycieków danych (np. technika google hacking, analiza pliku robots.txt). poszukiwania podatności klas: SQL Injection, Xpath Injection, NoSQL Injection, XXE, XSS - reflected oraz stored analizy problemów z uwierzytelnianiem i autoryzacją (np. próby dostępu do zasobów bez uwierzytelnienia, próby dostępu do zasobów administracyjnych przez zwykłego użytkownika, próby przełamania ekranów logowania-w tym próby brute force danych dostępowych) możliwości otrzymania nieautoryzowanego dostępu na poziomie systemu operacyjnego i uzyskanie w ten sposób dostępu do źródeł aplikacji, bazy danych, innych poufnych informacji analiza błędów logicznych próby wykrycia innych, znanych podatności, np.: path traversal, open redirection, cross site request forgery, server side request forgery, server side template injection. detekcja ogólnie znanego oprogramowania (aplikacje, biblioteki, systemy wspomagające). Po wykryciu nieaktualnych wersji, próby lokalizacji znanych, istotnych podatności w kilku wybranych źródłach Testy powinny być wykonane zgodnie z metodologiami: OWASP TOP 10 (bezpieczeństwo aplikacji webowych, bezpieczeństwo aplikacji mobilnych) OWASP ASVS w zakresie testów aplikacji webowych OSSTMM ogólne prowadzenie prac audytowych Wykonawca zobowiązuje się do ponownego wykonania testów oraz w razie potrzeby retestów (max 1 retesty) po usunięciu zgłoszonych błędów przez Zamawiającego. Dla potrzeb realizacji przedmiotu zamówienia, Wykonawca będzie zobowiązany zapewnić, korzystając z własnych zasobów kadrowych, zespół projektowy do wykonania przedmiotu zamówienia w skład którego wchodzić będzie przynajmniej 1 osoba, posiadająca ważny certyfikat Certified Information Systems Security Professional oraz OSCP (Offensive Security Certified Professional). Kopie certyfikatów jw. poświadczone za zgodność z oryginałem Wykonawca zobowiązany jest przedłożyć Zamawiającemu wraz z ofertą. Wykonawca powinien wykazać wraz ze złożeniem oferty a to pisemnym dokumentem referencji wystawionym przez zleceniodawcę tego zadania doświadczenie własne w prawidłowej realizacji-nie wcześniejszej niż 3 lata przed datą ogłoszenia niniejszego zapytania ofertowego - minimum dwóch (dwóch) realizacji z zakresu testu i audytu bezpieczeństwa aplikacji udostępnianych za pośrednictwem sieci Internet o wartości każdej takiej realizacji z osobna nie mniejszej niż 5000,00 zł netto. |
branża | Komputery, informatyka, technika biurowa |
podbranża | usługi informatyczne, oprogramowanie komputerowe |
forma | zapytanie ofertowe |
typ zlecenia | usługi, wykonanie |
kraj realizacji | Polska |
województwo realizacji | Opolskie |
kraj organizatora | Polska |
województwo organizatora | Opolskie |