AhaSlides በVettel ሳይበር ደህንነት የሚተዳደረውን ሁሉን አቀፍ Greybox Pentest መቀበሉን ስናበስር በጣም ደስ ብሎናል። ይህ የጥልቅ ደህንነት ምርመራ በሁለቱ ዋና ዋና የመስመር ላይ መድረኮች ላይ ያነጣጠረ ነበር፡ የአቅራቢ መተግበሪያ (presenter.ahaslides.com) እና የታዳሚዎች መተግበሪያ (ተመልካቾች.ahaslides.com).
ከዲሴምበር 20 እስከ ታህሳስ 27 ቀን 2023 ድረስ ያለው የጸጥታ ፈተና የተለያዩ የጸጥታ ድክመቶችን በጥልቀት መመርመርን ያካትታል። የቪዬቴል ሳይበር ሴኪዩሪቲ ቡድን ጥልቅ ጥልቅ ትንታኔን ያከናወነ ሲሆን በስርዓታችን ውስጥ የሚሻሻሉ ቦታዎችን ጠቁሟል።
ዋና ዋና ነጥቦች:
- የፈተና ጊዜ፡ ዲሴምበር 20-27፣ 2023
- ወሰን፡ የተለያዩ ሊሆኑ የሚችሉ የደህንነት ድክመቶች ጥልቅ ትንተና
- ውጤት፡ AhaSlides ተለይተው የታወቁ ተጋላጭነቶችን ከፈቱ በኋላ ፈተናውን አልፈዋል
- ተፅዕኖ፡ ለተጠቃሚዎቻችን የተሻሻለ ደህንነት እና አስተማማኝነት
የቪዬቴል ሴኩሪቲ ፔንቴስት ምንድን ነው?
Pentest፣ ለአጭር የፔኔትሽን ሙከራ፣ በመሰረቱ ሊበጁ የሚችሉ ስህተቶችን ለማግኘት በስርዓትዎ ላይ የሚሳለቅ የሳይበር ጥቃት ነው። በድር አፕሊኬሽኖች አውድ ውስጥ፣ Pentest በማመልከቻው ውስጥ ያሉትን የደህንነት ጉድለቶች ለመጠቆም፣ ለመተንተን እና ሪፖርት ለማድረግ የተሟላ ግምገማ ነው። ለስርዓትዎ መከላከያ እንደ የጭንቀት ሙከራ አድርገው ያስቡት - ይህ ሊጥሱ የሚችሉበትን ቦታዎች ያሳያል።
በሳይበር ሴኪዩሪቲ ቦታ ከፍተኛ ውሻ በሆነው በቪቴል ሳይበር ሴኪዩሪቲ በባለሙያዎች የሚካሄደው ይህ ሙከራ የሰፊው የደህንነት አገልግሎት ስብስብ አካል ነው። በግምገማችን ውስጥ ጥቅም ላይ የዋለው የግሬይቦክስ ሙከራ ዘዴ የጥቁር ሣጥን እና የነጭ ሣጥን ሙከራ ገጽታዎችን ያካትታል። ሞካሪዎች ከስርአቱ ጋር የተወሰነ ግንኙነት ያለው የጠላፊ ጥቃትን በመኮረጅ በእኛ የመሣሪያ ስርዓት ውስጣዊ አሠራር ላይ የተወሰነ ኢንቴል አላቸው።
የተለያዩ የድረ-ገጽ መሠረተ ልማቶቻችንን ስልታዊ በሆነ መንገድ በመጠቀም ከአገልጋይ የተሳሳተ ውቅረት እና ከድረ-ገጽ ስክሪፕት እስከ የተሰበረ ማረጋገጫ እና ሚስጥራዊነት ያለው መረጃ መጋለጥ፣ Pentest ሊሆኑ የሚችሉ አደጋዎችን የሚያሳይ ተጨባጭ ምስል ያቀርባል። የተለያዩ የጥቃት ቬክተሮችን የሚያጠቃልል ጥልቅ ነው፣ እና በተያዙት ስርዓቶች ላይ ምንም አይነት ጉዳት እንደሌለ ለማረጋገጥ ቁጥጥር ባለበት አካባቢ ይካሄዳል።
የመጨረሻው ሪፖርት ተጋላጭነቶችን ብቻ ሳይሆን ቅድሚያ የሚሰጠው በክብደቱ እና እነሱን ለማስተካከል ምክሮችን ያካትታል። እንዲህ ዓይነቱን ሁሉን አቀፍ እና ጥብቅ ፈተና ማለፍ የድርጅቱን የሳይበር ደህንነት ጥንካሬ አጉልቶ የሚያሳይ እና በዲጂታል ዘመን ለመተማመን መሰረታዊ ግንባታ ነው።
ተለይተው የሚታወቁ ድክመቶች እና ጥገናዎች
በሙከራ ደረጃ፣ ከሳይት ስክሪፕት (ኤክስኤስኤስ) እስከ የተሰበረ መዳረሻ መቆጣጠሪያ (ቢኤሲ) ጉዳዮች ያሉ በርካታ ተጋላጭነቶች ተገኝተዋል። ልዩ ለመሆን፣ ፈተናው እንደ የተከማቸ XSS በበርካታ ባህሪያት፣ ደህንነቱ ያልተጠበቀ ቀጥተኛ ነገር ማጣቀሻዎች (IDOR) በአቀራረብ ስረዛ ተግባር እና በልዩ ልዩ ተግባራት ላይ የልዩነት እድገትን የመሳሰሉ ተጋላጭነቶችን አሳይቷል።
የ AhaSlides የቴክኖሎጂ ቡድን ከቪዬቴል ሳይበር ደህንነት ጋር እጅ ለእጅ ተያይዘው በመሥራት ሁሉንም የተለዩ ጉዳዮችን ፈትቷል።. መከላከያዎችን ለማጠናከር እንደ የግቤት ውሂብ ማጣሪያ፣ የውሂብ ውፅዓት ኢንኮዲንግ፣ ተገቢ የምላሽ ራስጌዎችን መጠቀም እና ጠንካራ የይዘት ደህንነት ፖሊሲ (ሲ.ኤስ.ፒ.) መቀበልን የመሳሰሉ እርምጃዎች ተተግብረዋል።
AhaSlides የፔኔትሽን ፈተናን በተሳካ ሁኔታ በViettel ደህንነት አልፏል
ሁለቱም የአቅራቢዎች እና ታዳሚዎች አፕሊኬሽኖች በቪዬቴል ሴኪዩሪቲ የተደረገውን አጠቃላይ የመግባት ፈተና በተሳካ ሁኔታ አልፈዋል። ይህ ጥብቅ ግምገማ ለጠንካራ የደህንነት ልምዶች እና የተጠቃሚ ውሂብ ጥበቃ ያለንን ቁርጠኝነት ያጎላል።
በዲሴምበር 2023 የተካሄደው ፈተና የGreybox methodology ተጠቀመ፣ የገሃዱ አለም የጥቃት ሁኔታን አስመስሎ ነበር። የቪዬቴል የደህንነት ባለሙያዎች የእኛን መድረክ ለተጋላጭነት ገምግመዋል፣ መሻሻል ያለባቸውን ቦታዎች ለይተዋል።
ተለይተው የታወቁት ድክመቶች በ AhaSlides ምህንድስና ቡድን ከቪዬቴል ሴኩሪቲ ጋር በመተባበር ቀርበዋል። የተተገበሩ ርምጃዎች የግቤት ውሂብ ማጣሪያን፣ የውጤት ውሂብ ኢንኮዲንግ፣ ጠንካራ የይዘት ደህንነት ፖሊሲ (CSP) እና መድረኩን የበለጠ ለማጠናከር ተገቢ የምላሽ ራስጌዎችን ያካትታሉ።
AhaSlides ለእውነተኛ ጊዜ ስጋትን ለመለየት እና ምላሽ ለመስጠት በላቁ የክትትል መሳሪያዎች ላይ ኢንቨስት አድርጓል። በተጨማሪም፣ የደህንነት ጥሰት በሚፈጠርበት ጊዜ ፈጣን እና ውጤታማ እርምጃን ለማረጋገጥ የእኛ የአደጋ ምላሽ ፕሮቶኮሎች ተጣርተዋል።
ደህንነቱ የተጠበቀ እና ደህንነቱ የተጠበቀ መድረክ
ተጠቃሚዎች ውሂባቸው እንደተጠበቀ እና በይነተገናኝ ልምዶቻቸው ደህንነቱ እንደተጠበቀ እንደሚቆዩ እርግጠኞች መሆን ይችላሉ። በመካሄድ ላይ ባሉ የደህንነት ግምገማዎች እና ተከታታይ መሻሻሎች፣ ለተጠቃሚዎቻችን አስተማማኝ እና ደህንነቱ የተጠበቀ መድረክ ለመገንባት ቁርጠኞች ነን።
