Цитата |
---|
В общем я и раньше занимался аудитом безопасности но так по мелочи, и если за деньги то только за символические. Но сегодня мне подфартило лазая по бескрайним просторам Интернета я наткнулся на веб систему управления своим счетом в банке noname и тут же наткнулся на уязвимость класса xss, я сразу позвонил им и сообщил о находке мы договорились и я выслал им письмо с описанием уязвимости, и предложением сотрудничества даже на первый взгляд там море уязвимостей хотя вроде престижный банк. И вот в чем мой вапрос сколько стоит такой аудит сколько с них брать если они согласятся сотрудничать.я могу провести аудит безопасности на всех уровня включая соц инженерию. |
Не стоит путать тест на проникновение и аудит безопасности, который руководствуется как правило каким-либо стандартом (ИБ ЦБР, например) . Это всегда больше простого "тыкания" в WEB-баги или уязвимости отдельной взятой сети, а процесс (состоящий из подготовки, проверки организационной инфраструктуры, выработки документированной стратегии и политики, оценки рисков и ещё множества действий, которые в дальнейшем будут являться актуальными для сертификации предприятия или компании с целью повышения её рентабельности). Самодеятельность никогда не приветствуется, поэтому руководствуясь строгим стандартом, не придётся думать о:
Цитата |
---|
произвожу аудит безопасности чтоб показать её если например меня поймают на территории их организации. |
В свою очередь тест на проникновение подразумевает выбор методики, оговаривается, будут ли все сотрудники знать о предстоящих действиях (whitebox), или же нет (blackbox).
Цитата |
---|
А во вторых по поводу письменного договора где взять образец. |
Обратиться к юристу, не забыв обоюдно его согласовать со второй стороной