Análise de Segurança Ofensiva e Teste de Penetração para Plataforma Digital

Estamos buscando um profissional altamente especializado em segurança ofensiva para conduzir uma análise técnica aprofundada em nossa plataforma digital, que inclui uma webstore e um aplicativo mobile. O objetivo principal é validar a eficácia dos controles de segurança atualmente implementados e identificar quaisquer falhas ou vulnerabilidades que possam comprometer a integridade das transações financeiras e a segurança dos dados dos nossos usuários. Este trabalho é crucial para garantir a robustez e a confiabilidade da nossa infraestrutura digital. O escopo do trabalho abrange os seguintes pontos essenciais: Mapeamento da Superfície de Exposição: Realizar um levantamento detalhado dos endpoints da aplicação web (loja online) utilizando ferramentas e técnicas de descoberta de rotas e diretórios. Analisar o tráfego de rede entre o aplicativo mobile e os servidores para obter uma compreensão completa do fluxo de comunicação. Catalogar todos os endpoints relevantes, como rotas de consulta de usuário, processos de fluxo de compra e mecanismos de processamento de pagamento. Análise de Controles de Acesso e Validação de Entradas: Verificar a existência de exposição indevida de dados entre diferentes contas de usuários, focando no controle de acesso por objeto. Realizar testes de manipulação de parâmetros em requisições de compra, incluindo valores, quantidades e identificadores de produtos. Inspecionar os tokens de autenticação (JWT) para identificar a exposição de informações sensíveis e avaliar a qualidade da chave de assinatura utilizada. Conduzir testes de injeção em todos os parâmetros que alimentam consultas ao banco de dados para detectar vulnerabilidades. Exploração Controlada (mediante autorização prévia): Em caso de identificação de falhas nos controles de acesso entre contas, demonstrar de forma controlada a possibilidade de manipular recursos pertencentes a diferentes usuários. Se forem identificadas fragilidades nos mecanismos de confirmação de pagamento, demonstrar a capacidade de simular notificações fraudulentas. Na ausência de controles de concorrência adequados, demonstrar a possibilidade de processamento duplicado de uma mesma transação. Buscamos um especialista com experiência comprovada em segurança ofensiva e capacidade de entregar um relatório detalhado com as vulnerabilidades encontradas e recomendações de mitigação.