Trabajo para una de las principales empresas que cotizan en bolsa y necesitamos algunas pruebas externas de la caja negra en un ejecutable Win32. Este exe se utiliza en una gran infraestructura de servidor cliente y es una pieza central de nuestro negocio principal. Maneja las transacciones monetarias por lo que es vital que sea seguro. El alcance del trabajo que nos gustaría auditar es:
- Reversión del protocolo de comunicación cliente / servidor.
- Análisis binario general para posibles vulnerabilidades.
- Análisis de posibilidades para inyección de código.
- Detección del hombre en las vulnerabilidades medias.
Estoy estimando que un proyecto como este tomaría un equipo de dos a 12 semanas dependiendo de la calidad. ¿No queremos facturar cada hora y estamos tratando de calcular qué precios son razonables por persona / mes?
En general, para este tipo de trabajo, ¿cuáles son los rangos de tasas y períodos de tiempo que debería esperar ver?