Ищу специалиста по информационной безопасности для проведения black/grey box pentest веб-проекта.
Стек:
• Laravel (PHP)
• Nginx
• Docker
• Cloudflare (WAF/CDN)
• REST API + web панель
Необходимо отдельно протестировать все точки загрузки файлов:
• формы upload
• аватары
• документы
• импорты/экспорты
• любые multipart/form-data endpoints
• API загрузки
Проверить:
• возможность загрузки .php/.phtml/.phar/.php7
• обход MIME type
• обход расширений (file.php.jpg, file.pHp, null-byte и т.д.)
• выполнение загруженных файлов из /public
• LFI → выполнение файлов
• path traversal (../../)
• загрузку SVG/XSS payload
• polyglot файлы
• race condition upload
• возможность записать файл в webroot
Загрузка файлов через веб- обязательный приоритет
Отдельно протестировать upload механизмы на возможность:
• загрузки webshell
• выполнения PHP/скриптов
• обхода расширений (.php.jpg, .phtml, .phar)
• MIME spoofing
• path traversal
• LFI → RCE
• запись файлов в webroot
• обход nginx/Laravel ограничений
Опубликован 05.02.2026 в 07:49 Последнее изменение: 05.02.2026 в 11:30