Ons is verheug om aan te kondig dat AhaSlides geslaag het vir die allesomvattende Greybox Pentest wat deur Viettel Cyber Security geadministreer word. Hierdie in-diepte sekuriteitsondersoek het ons twee vlagskip aanlyn platforms geteiken: die Aanbieder-toepassing (aanbieder.ahaslides.com) en die gehoor-toepassing (audience.ahaslides.com).
Die sekuriteitstoets, wat van 20 Desember tot 27 Desember 2023 geduur het, het noukeurige ondersoek na verskeie sekuriteitsprobleme behels. Die span van Viettel Cyber Security het 'n diepduik-analise uitgevoer en verskeie areas vir verbetering binne ons stelsel gemerk.
Belangrike punte:
- Toetstydperk: 20-27 Desember 2023
- Bestek: In-diepte ontleding van verskeie potensiële sekuriteitsswakhede
- Resultaat: AhaSlides het die toets geslaag nadat hulle geïdentifiseerde kwesbaarhede aangespreek het
- Impak: Verbeterde sekuriteit en betroubaarheid vir ons gebruikers
Wat is Viettel Security se Pentest?
'n Pentest, kort vir Penetration Test, is in wese 'n skyn kuberaanval op jou stelsel om ontginbare foute te ontbloot. In die konteks van webtoepassings is 'n Pentest 'n volledige evaluering om die sekuriteitsfoute binne 'n toepassing vas te stel, te ontleed en daaroor verslag te doen. Dink daaraan as 'n strestoets vir jou stelsel se verdediging - dit wys waar potensiële oortredings kan voorkom.
Hierdie toets word uitgevoer deur die ervare professionele persone by Viettel Cyber Security, 'n tophond in die kuberveiligheidsruimte, en is deel van hul uitgebreide sekuriteitsdienssuite. Die Greybox-toetsmetodologie wat in ons assessering gebruik word, sluit aspekte van beide swartboks- en witbokstoetsing in. Toetsers het 'n mate van inligting oor die interne werking van ons platform, wat 'n aanval naboots deur 'n hacker wat 'n mate van vorige interaksie met die stelsel het.
Deur sistematies verskeie fasette van ons webinfrastruktuur te ontgin, van bediener wankonfigurasies en kruiswerf scripting tot gebroke stawing en sensitiewe datablootstelling, bied die Pentest 'n realistiese beeld van potensiële bedreigings. Dit is deeglik, wat verskeie aanvalvektore insluit, en word in 'n beheerde omgewing uitgevoer om te verseker dat geen werklike skade aan die betrokke stelsels is nie.
Die finale verslag identifiseer nie net die kwesbaarhede nie, maar prioritiseer dit ook volgens erns en sluit aanbevelings in om dit reg te stel. Om so 'n omvattende en streng toets te slaag, beklemtoon die sterkte van 'n organisasie se kuberveiligheid en is 'n fundamentele bousteen vir vertroue in die digitale era.
Geïdentifiseerde swakhede en regstellings
Tydens die toetsfase is verskeie kwesbaarhede gevind, wat wissel van Cross-Site Scripting (XSS) tot Broken Access Control (BAC) kwessies. Om spesifiek te wees, die toets het kwesbaarhede soos Stoor XSS oor verskeie kenmerke ontbloot, Insecure Direct Object References (IDOR) in die Presentation-skrapfunksie, en Privilege Escalation oor verskeie funksies.
Die AhaSlides-tegnologiespan, wat hand-aan-hand met Viettel Cyber Security werk, het alle geïdentifiseerde kwessies aangespreek. Maatreëls soos insetdatafiltrering, data-uitsetkodering, die gebruik van toepaslike antwoordopskrifte en die aanvaarding van 'n robuuste inhoudsekuriteitsbeleid (CSP) is geïmplementeer om ons verdediging te versterk.
AhaSlides het die penetrasietoets deur Viettel Security suksesvol geslaag
Beide die Aanbieder- en Gehoortoepassings het suksesvol 'n omvattende penetrasietoets geslaag wat deur Viettel Security uitgevoer is. Hierdie streng assessering onderstreep ons verbintenis tot robuuste sekuriteitspraktyke en gebruikersdatabeskerming.
Die toets, wat in Desember 2023 uitgevoer is, het 'n Greybox-metodologie gebruik wat 'n werklike aanvalscenario nageboots het. Viettel se sekuriteitskundiges het ons platform noukeurig vir kwesbaarhede geëvalueer en gebiede vir verbetering geïdentifiseer.
Die geïdentifiseerde kwesbaarhede is deur die AhaSlides-ingenieurspan in samewerking met Viettel Security aangespreek. Maatreëls wat geïmplementeer is, sluit in insetdatafiltrering, uitsetdatakodering, 'n robuuste inhoudsekuriteitsbeleid (CSP) en toepaslike reaksieopskrifte om die platform verder te versterk.
AhaSlides het ook belê in gevorderde moniteringsinstrumente vir intydse bedreigingsopsporing en -reaksie. Boonop is ons insidentreaksieprotokolle verfyn om vinnige en doeltreffende optrede te verseker in die geval van 'n sekuriteitskending.
'n Veilige en beveiligde platform
Gebruikers kan vol vertroue wees dat hul data beskerm word en hul interaktiewe ervarings veilig bly. Met deurlopende sekuriteitsevaluerings en voortdurende verbetering, is ons daartoe verbind om 'n betroubare en veilige platform vir ons gebruikers te bou.
