يسعدنا أن نعلن أن AhaSlides قد اجتازت اختبار Greybox Pentest الشامل الذي أجرته شركة Viettel Cyber Security. استهدف هذا الاختبار الأمني المتعمق منصتينا الإلكترونيتين الرائدتين: تطبيق Presenter (Presenter.ahaslides.com) وتطبيق الجمهور (ahaslides.com).
وتضمن اختبار الأمان، الذي استمر من 20 إلى 27 ديسمبر 2023، فحصًا دقيقًا لمختلف نقاط الضعف الأمنية. أجرى فريق Viettel Cyber Security تحليلاً عميقًا ووضع علامة على العديد من المجالات التي تحتاج إلى تحسين داخل نظامنا.
النقاط الرئيسية:
- فترة الاختبار: 20-27 ديسمبر 2023
- النطاق: تحليل متعمق لمختلف نقاط الضعف الأمنية المحتملة
- النتيجة: نجح AhaSlides في اجتياز الاختبار بعد معالجة الثغرات الأمنية التي تم تحديدها
- التأثير: تعزيز الأمان والموثوقية لمستخدمينا
ما هو Pentest الخاص بشركة Viettel Security؟
إن Pentest، وهو اختصار لاختبار الاختراق، هو في الأساس هجوم إلكتروني وهمي على نظامك للكشف عن الأخطاء القابلة للاستغلال. في سياق تطبيقات الويب، يعد Pentest بمثابة تقييم شامل لتحديد العيوب الأمنية داخل التطبيق وتحليلها والإبلاغ عنها. فكر في الأمر كاختبار إجهاد لدفاعات نظامك - فهو يوضح الأماكن التي يمكن أن تحدث فيها الخروقات المحتملة.
تم إجراء هذا الاختبار بواسطة محترفين متمرسين في شركة Viettel Cyber Security، الشركة الرائدة في مجال الأمن السيبراني، وهو جزء من مجموعة خدمات الأمان الشاملة الخاصة بهم. تشتمل منهجية اختبار Greybox المستخدمة في تقييمنا على جوانب اختبار الصندوق الأسود والصندوق الأبيض. يمتلك المختبرون بعض المعلومات حول الأعمال الداخلية لمنصتنا، مما يحاكي هجومًا يقوم به أحد المتسللين الذين لديهم بعض التفاعل المسبق مع النظام.
من خلال الاستغلال المنهجي لمختلف جوانب البنية التحتية للويب لدينا، بدءًا من التكوينات الخاطئة للخادم والبرمجة النصية عبر المواقع وحتى المصادقة المعطلة والكشف عن البيانات الحساسة، يقدم Pentest صورة واقعية للتهديدات المحتملة. إنه شامل، ويشمل مختلف نواقل الهجوم، ويتم إجراؤه في بيئة خاضعة للرقابة لضمان عدم حدوث ضرر حقيقي للأنظمة المعنية.
لا يحدد التقرير النهائي الثغرات الأمنية فحسب، بل يمنحها الأولوية أيضًا حسب خطورتها ويتضمن توصيات لإصلاحها. إن اجتياز مثل هذا الاختبار الشامل والصارم يؤكد قوة الأمن السيبراني للمؤسسة ويشكل لبنة أساسية للثقة في العصر الرقمي.
تم تحديد نقاط الضعف والإصلاحات
أثناء مرحلة الاختبار، تم العثور على العديد من الثغرات الأمنية، بدءًا من البرمجة النصية عبر المواقع (XSS) إلى مشكلات التحكم في الوصول المعطوب (BAC). على وجه التحديد، كشف الاختبار عن ثغرات أمنية مثل Stored XSS عبر ميزات متعددة، ومراجع الكائنات المباشرة غير الآمنة (IDOR) في وظيفة حذف العرض التقديمي، وتصعيد الامتيازات عبر وظائف مختلفة.
لقد قام فريق AhaSlides التقني، بالتعاون الوثيق مع Viettel Cyber Security، بمعالجة جميع المشكلات التي تم تحديدها. تم تنفيذ تدابير مثل تصفية بيانات الإدخال، وترميز مخرجات البيانات، واستخدام رؤوس الاستجابة المناسبة، واعتماد سياسة أمان المحتوى القوية (CSP) لتعزيز دفاعاتنا.
اجتازت AhaSlides بنجاح اختبار الاختراق الذي أجرته شركة Viettel Security
لقد نجح كل من تطبيقي Presenter وAudience في اجتياز اختبار اختراق شامل أجرته شركة Viettel Security. يؤكد هذا التقييم الدقيق التزامنا بالممارسات الأمنية القوية وحماية بيانات المستخدم.
استخدم الاختبار، الذي أُجري في ديسمبر 2023، منهجية Greybox، لمحاكاة سيناريو الهجوم في العالم الحقيقي. قام خبراء الأمن في Viettel بتقييم منصتنا بدقة لمعرفة نقاط الضعف، وتحديد مجالات التحسين.
قام فريق هندسة AhaSlides، بالتعاون مع Viettel Security، بمعالجة الثغرات الأمنية المُحددة. وشملت الإجراءات المُطبقة تصفية بيانات الإدخال، وترميز بيانات الإخراج، وسياسة أمان محتوى (CSP) فعّالة، ورؤوس استجابة مناسبة لتعزيز أمان المنصة.
استثمرت AhaSlides أيضًا في أدوات مراقبة متطورة للكشف عن التهديدات والاستجابة لها في الوقت الفعلي. بالإضافة إلى ذلك، تم تحسين بروتوكولات الاستجابة للحوادث لدينا لضمان اتخاذ إجراءات سريعة وفعالة في حال حدوث خرق أمني.
منصة آمنة ومؤمنة
يمكن للمستخدمين أن يكونوا واثقين من أن بياناتهم محمية وأن تجاربهم التفاعلية تظل آمنة. ومن خلال التقييمات الأمنية المستمرة والتحسين المستمر، نحن ملتزمون ببناء منصة موثوقة وآمنة لمستخدمينا.
