Ищу специалиста по информационной безопасности для проведения black/grey box pentest веб-проекта.
Стек: • Laravel (PHP) • Nginx • Docker • Cloudflare (WAF/CDN) • REST API + web панель Необходимо отдельно протестировать все точки загрузки файлов: • формы upload • аватары • документы • импорты/экспорты • любые multipart/form-data endpoints • API загрузки
Проверить: • возможность загрузки .php/.phtml/.phar/.php7 • обход MIME type • обход расширений (file.php.jpg, file.pHp, null-byte и т.д.) • выполнение загруженных файлов из /public • LFI → выполнение файлов • path traversal (../../) • загрузку SVG/XSS payload • polyglot файлы • race condition upload • возможность записать файл в webroot Загрузка файлов через веб- обязательный приоритет Отдельно протестировать upload механизмы на возможность: • загрузки webshell • выполнения PHP/скриптов • обхода расширений (.php.jpg, .phtml, .phar) • MIME spoofing • path traversal • LFI → RCE • запись файлов в webroot • обход nginx/Laravel ограничений
