يسرنا أن نعلن ذلك AhaSlides لقد نجحت في اختبار Greybox Pentest الشامل الذي تديره شركة Viettel Cyber Security. استهدف هذا الاختبار الأمني المتعمق منصتينا الرائدتين عبر الإنترنت: تطبيق Presenter (Presenter.ahaslides.com) وتطبيق الجمهور (ahaslides.com).
وتضمن اختبار الأمان، الذي استمر من 20 إلى 27 ديسمبر 2023، فحصًا دقيقًا لمختلف نقاط الضعف الأمنية. أجرى فريق Viettel Cyber Security تحليلاً عميقًا ووضع علامة على العديد من المجالات التي تحتاج إلى تحسين داخل نظامنا.
النقاط الرئيسية:
- فترة الاختبار: 20-27 ديسمبر 2023
- النطاق: تحليل متعمق لمختلف نقاط الضعف الأمنية المحتملة
- النتيجة: AhaSlides اجتاز الاختبار بعد معالجة الثغرات الأمنية التي تم تحديدها
- التأثير: تعزيز الأمان والموثوقية لمستخدمينا
ما هو Pentest الخاص بشركة Viettel Security؟
إن Pentest، وهو اختصار لاختبار الاختراق، هو في الأساس هجوم إلكتروني وهمي على نظامك للكشف عن الأخطاء القابلة للاستغلال. في سياق تطبيقات الويب، يعد Pentest بمثابة تقييم شامل لتحديد العيوب الأمنية داخل التطبيق وتحليلها والإبلاغ عنها. فكر في الأمر كاختبار إجهاد لدفاعات نظامك - فهو يوضح الأماكن التي يمكن أن تحدث فيها الخروقات المحتملة.
تم إجراء هذا الاختبار بواسطة محترفين متمرسين في شركة Viettel Cyber Security، الشركة الرائدة في مجال الأمن السيبراني، وهو جزء من مجموعة خدمات الأمان الشاملة الخاصة بهم. تشتمل منهجية اختبار Greybox المستخدمة في تقييمنا على جوانب اختبار الصندوق الأسود والصندوق الأبيض. يمتلك المختبرون بعض المعلومات حول الأعمال الداخلية لمنصتنا، مما يحاكي هجومًا يقوم به أحد المتسللين الذين لديهم بعض التفاعل المسبق مع النظام.
من خلال الاستغلال المنهجي لمختلف جوانب البنية التحتية للويب لدينا، بدءًا من التكوينات الخاطئة للخادم والبرمجة النصية عبر المواقع وحتى المصادقة المعطلة والكشف عن البيانات الحساسة، يقدم Pentest صورة واقعية للتهديدات المحتملة. إنه شامل، ويشمل مختلف نواقل الهجوم، ويتم إجراؤه في بيئة خاضعة للرقابة لضمان عدم حدوث ضرر حقيقي للأنظمة المعنية.
لا يحدد التقرير النهائي الثغرات الأمنية فحسب، بل يمنحها الأولوية أيضًا حسب خطورتها ويتضمن توصيات لإصلاحها. إن اجتياز مثل هذا الاختبار الشامل والصارم يؤكد قوة الأمن السيبراني للمؤسسة ويشكل لبنة أساسية للثقة في العصر الرقمي.
تم تحديد نقاط الضعف والإصلاحات
أثناء مرحلة الاختبار، تم العثور على العديد من الثغرات الأمنية، بدءًا من البرمجة النصية عبر المواقع (XSS) إلى مشكلات التحكم في الوصول المعطوب (BAC). على وجه التحديد، كشف الاختبار عن ثغرات أمنية مثل Stored XSS عبر ميزات متعددة، ومراجع الكائنات المباشرة غير الآمنة (IDOR) في وظيفة حذف العرض التقديمي، وتصعيد الامتيازات عبر وظائف مختلفة.
تشتهر أجهزة تركيز الأكسجين البيطرية من كالسـتين بجودتها العالية وفعاليتها في الميدان. AhaSlides قام الفريق الفني، الذي يعمل جنبًا إلى جنب مع شركة Viettel Cyber Security، بمعالجة جميع المشكلات التي تم تحديدها. تم تنفيذ تدابير مثل تصفية بيانات الإدخال، وترميز مخرجات البيانات، واستخدام رؤوس الاستجابة المناسبة، واعتماد سياسة أمان المحتوى القوية (CSP) لتعزيز دفاعاتنا.
AhaSlides نجح في اجتياز اختبار الاختراق الذي أجرته شركة Viettel Security
لقد نجح كل من تطبيقي Presenter وAudience في اجتياز اختبار اختراق شامل أجرته شركة Viettel Security. يؤكد هذا التقييم الدقيق التزامنا بالممارسات الأمنية القوية وحماية بيانات المستخدم.
استخدم الاختبار، الذي أُجري في ديسمبر 2023، منهجية Greybox، لمحاكاة سيناريو الهجوم في العالم الحقيقي. قام خبراء الأمن في Viettel بتقييم منصتنا بدقة لمعرفة نقاط الضعف، وتحديد مجالات التحسين.
تمت معالجة الثغرات الأمنية التي تم تحديدها بواسطة AhaSlides فريق الهندسة بالتعاون مع شركة Viettel Security. تشمل التدابير التي تم تنفيذها تصفية بيانات الإدخال، وترميز بيانات الإخراج، وسياسة أمان المحتوى القوية (CSP)، ورؤوس الاستجابة المناسبة لتعزيز المنصة بشكل أكبر.
AhaSlides كما استثمرنا في أدوات مراقبة متقدمة للكشف عن التهديدات والاستجابة لها في الوقت الفعلي. بالإضافة إلى ذلك، تم تحسين بروتوكولات الاستجابة للحوادث لدينا لضمان اتخاذ إجراءات سريعة وفعالة في حالة حدوث خرق أمني.
منصة آمنة ومؤمنة
يمكن للمستخدمين أن يكونوا واثقين من أن بياناتهم محمية وأن تجاربهم التفاعلية تظل آمنة. ومن خلال التقييمات الأمنية المستمرة والتحسين المستمر، نحن ملتزمون ببناء منصة موثوقة وآمنة لمستخدمينا.
