AhaSlides-in Viettel Cyber Security tərəfindən idarə olunan hər şeyi əhatə edən Greybox Pentest-də iştirak etdiyini elan etməkdən məmnunuq. Bu dərin təhlükəsizlik imtahanı bizim iki flaqman onlayn platformamızı hədəf aldı: Presenter proqramı (presenter.ahaslides.com) və Auditoriya proqramı (auditoriya.ahaslides.com).
20-cü il dekabrın 27-dən dekabrın 2023-dək davam edən təhlükəsizlik testi müxtəlif təhlükəsizlik zəiflikləri üçün ciddi araşdırmalardan ibarət idi. Viettel Cyber Security komandası dərin təhlil apardı və sistemimizdə təkmilləşdirmə üçün bir neçə sahəni qeyd etdi.
Əsas nöqtələr:
- Test Müddəti: 20-27 dekabr 2023-cü il
- Əhatə dairəsi: Müxtəlif potensial təhlükəsizlik zəifliklərinin dərin təhlili
- Nəticə: AhaSlides müəyyən edilmiş zəiflikləri aradan qaldırdıqdan sonra testdən keçdi
- Təsir: İstifadəçilərimiz üçün gücləndirilmiş təhlükəsizlik və etibarlılıq
Viettel Security-nin Pentest nədir?
Penetrasyon Testi üçün qısaldılmış Pentest, əslində istismar edilə bilən səhvləri aşkar etmək üçün sisteminizə saxta kiberhücumdur. Veb tətbiqləri kontekstində Pentest proqram daxilindəki təhlükəsizlik qüsurlarını müəyyənləşdirmək, təhlil etmək və hesabat vermək üçün hərtərəfli qiymətləndirmədir. Bunu sisteminizin müdafiəsi üçün stress testi kimi düşünün - bu, potensial pozuntuların harada baş verə biləcəyini göstərir.
Kibertəhlükəsizlik məkanında ən yaxşı it olan Viettel Cyber Security-nin təcrübəli mütəxəssisləri tərəfindən həyata keçirilən bu test onların geniş təhlükəsizlik xidmətləri paketinin bir hissəsidir. Qiymətləndirməmizdə istifadə olunan Greybox test metodologiyası həm qara qutu, həm də ağ qutu testinin aspektlərini özündə birləşdirir. Sınaqçılar platformamızın daxili işlərinə dair bəzi intellektə malikdirlər, sistemlə əvvəlcədən qarşılıqlı əlaqədə olan hakerin hücumunu təqlid edirlər.
Veb infrastrukturumuzun müxtəlif aspektlərindən sistematik şəkildə istifadə etməklə, server səhv konfiqurasiyasından və saytlararası skriptdən tutmuş sınmış autentifikasiyaya və həssas məlumatların ifşasına qədər, Pentest potensial təhlükələrin real mənzərəsini təqdim edir. Bu, müxtəlif hücum vektorlarını əhatə edən hərtərəflidir və daxil olan sistemlərə real zərər verməmək üçün idarə olunan mühitdə aparılır.
Yekun hesabat yalnız zəiflikləri müəyyən etmir, həm də onların şiddətinə görə prioritetləşdirir və onların aradan qaldırılması üçün tövsiyələri ehtiva edir. Belə hərtərəfli və ciddi sınaqdan keçmək təşkilatın kibertəhlükəsizliyinin gücünü vurğulayır və rəqəmsal əsrdə inam üçün əsas tikinti blokudur.
Müəyyən edilmiş zəifliklər və düzəlişlər
Test mərhələsində saytlararası skriptdən (XSS) Broken Access Control (BAC) problemlərinə qədər bir neçə boşluq aşkar edildi. Konkret desək, test çoxsaylı funksiyalar üzrə Saxlanmış XSS, Təqdimatın silinməsi funksiyasında Təhlükəsiz Birbaşa Obyekt Referansları (IDOR) və müxtəlif funksiyalar üzrə İmtiyazların Artırılması kimi boşluqları aşkar edib.
Viettel Cyber Security ilə əl-ələ verən AhaSlides texnoloji qrupu müəyyən edilmiş bütün problemləri həll etdi.. Müdafiəmizi gücləndirmək üçün daxilolma məlumatlarının filtrasiyası, məlumat çıxışının kodlaşdırılması, müvafiq cavab başlıqlarının istifadəsi və möhkəm Məzmun Təhlükəsizliyi Siyasətinin (CSP) qəbul edilməsi kimi tədbirlər həyata keçirilib.
AhaSlides Viettel Security tərəfindən Nüfuz Testindən uğurla keçdi
Həm Təqdimatçı, həm də Tamaşaçı proqramları Viettel Security tərəfindən keçirilən hərtərəfli nüfuz testindən uğurla keçdi. Bu ciddi qiymətləndirmə möhkəm təhlükəsizlik təcrübələrinə və istifadəçi məlumatlarının qorunmasına sadiqliyimizi vurğulayır.
2023-cü ilin dekabrında keçirilən sınaqda real dünyada hücum ssenarisini simulyasiya edən Greybox metodologiyasından istifadə edilib. Viettelin təhlükəsizlik üzrə mütəxəssisləri platformamızı zəifliklərə görə diqqətlə qiymətləndirərək, təkmilləşdirilməli sahələri müəyyənləşdirdilər.
Müəyyən edilmiş zəifliklər AhaSlides mühəndis qrupu tərəfindən Viettel Security ilə əməkdaşlıqda aradan qaldırılıb. Həyata keçirilən tədbirlərə giriş məlumatlarının filtrasiyası, çıxış məlumatlarının kodlaşdırılması, möhkəm Məzmun Təhlükəsizliyi Siyasəti (CSP) və platformanı daha da gücləndirmək üçün müvafiq cavab başlıqları daxildir.
AhaSlides həmçinin real vaxt rejimində təhlükənin aşkarlanması və cavablandırılması üçün qabaqcıl monitorinq alətlərinə sərmayə qoyub. Bundan əlavə, təhlükəsizlik pozuntusu halında sürətli və effektiv hərəkəti təmin etmək üçün insidentlərə cavab protokollarımız təkmilləşdirilmişdir.
Təhlükəsiz və Təhlükəsiz Platforma
İstifadəçilər məlumatlarının qorunduğuna və interaktiv təcrübələrinin təhlükəsiz qalacağına əmin ola bilərlər. Davamlı təhlükəsizlik qiymətləndirmələri və davamlı təkmilləşdirmə ilə biz istifadəçilərimiz üçün etibarlı və təhlükəsiz platforma yaratmağa sadiqik.
