AhaSlides Прайшоў тэст на пранікненне Viettel Cyber ​​Security

аб'явы

AhaSlides каманда 05 Снежань, 2024 4 мін чытання

Сертыфікат тэсту на пранікненне Viettel для ahaslides

Мы рады паведаміць пра гэта AhaSlides прайшоў усеабдымны Pentest Greybox, які праводзіцца Viettel Cyber ​​Security. Гэтая паглыбленая праверка бяспекі была накіравана на нашы дзве флагманскія інтэрнэт-платформы: прыкладанне Presenter (presenter.ahaslides.com) і праграма Audience (Audience.ahaslides.com).

Тэставанне бяспекі, якое праходзіла з 20 па 27 снежня 2023 г., уключала ў сябе дбайную праверку на наяўнасць розных слабых месцаў у бяспецы. Каманда Viettel Cyber ​​Security правяла глыбокі аналіз і адзначыла некалькі абласцей нашай сістэмы, якія патрабуюць паляпшэння.

Ключавыя моманты:

  • Тэставы перыяд: 20-27 снежня 2023 г
  • Вобласць прымянення: глыбокі аналіз розных патэнцыйных недахопаў бяспекі
  • Вынік: AhaSlides прайшоў тэст пасля ліквідацыі выяўленых уразлівасцяў
  • Вынік: павышэнне бяспекі і надзейнасці для нашых карыстальнікаў

Што такое пентэст Viettel Security?

Pentest, скарачэнне ад Penetration Test, па сутнасці, з'яўляецца імітаванай кібератакай на вашу сістэму з мэтай выяўлення памылак, якія можна выкарыстоўваць. У кантэксце вэб-прыкладанняў Pentest - гэта вычарпальная ацэнка, якая дазваляе вызначыць, прааналізаваць і паведаміць пра недахопы бяспекі ў дадатку. Успрымайце гэта як стрэс-тэст абароны вашай сістэмы - ён паказвае, дзе могуць адбыцца магчымыя парушэнні.

Гэты тэст, які праводзіцца вопытнымі прафесіяналамі кампаніі Viettel Cyber ​​Security, лідара ў галіне кібербяспекі, з'яўляецца часткай іх шырокага пакета паслуг бяспекі. Метадалогія тэсціравання Greybox, якая выкарыстоўваецца ў нашай ацэнцы, уключае аспекты тэставання як чорнай, так і белай скрыні. Тэстыроўшчыкі валодаюць некаторай інфармацыяй аб унутранай працы нашай платформы, імітуючы атаку хакера, які раней узаемадзейнічаў з сістэмай.

Сістэматычна выкарыстоўваючы розныя аспекты нашай вэб-інфраструктуры, ад няправільнай канфігурацыі сервера і міжсайтавых сцэнарыяў да парушанай аўтэнтыфікацыі і раскрыцця канфідэнцыйных даных, Pentest прапануе рэалістычную карціну патэнцыйных пагроз. Ён дбайны, ахоплівае розныя вектары нападаў і праводзіцца ў кантраляваным асяроддзі, каб не нанесці рэальнай шкоды задзейнічаным сістэмам.

Канчатковая справаздача не толькі вызначае ўразлівасці, але і расстаўляе іх па ступені сур'ёзнасці і змяшчае рэкамендацыі па іх выпраўленні. Праходжанне такога ўсебаковага і строгага тэсту падкрэслівае моц кібербяспекі арганізацыі і з'яўляецца фундаментальным будаўнічым блокам даверу ў эпоху лічбавых тэхналогій.

Выяўленыя недахопы і выпраўленні

Падчас фазы тэсціравання было выяўлена некалькі ўразлівасцяў, пачынаючы ад міжсайтавых сцэнарыяў (XSS) і заканчваючы праблемамі са зламаным кантролем доступу (BAC). У прыватнасці, тэст выявіў такія ўразлівасці, як захаваны XSS у некалькіх функцыях, небяспечныя прамыя спасылкі на аб'екты (IDOR) у функцыі выдалення прэзентацыі і павышэнне прывілеяў у розных функцыях.

,en AhaSlides тэхнічная каманда, якая працуе рука аб руку з Viettel Cyber ​​Security, вырашыла ўсе выяўленыя праблемы. Такія меры, як фільтраванне ўваходных даных, кадзіраванне выходных даных, выкарыстанне адпаведных загалоўкаў адказаў і прыняцце надзейнай палітыкі бяспекі змесціва (CSP), былі рэалізаваны для ўмацавання нашай абароны.

AhaSlides Паспяхова прайшоў тэст на пранікненне Viettel Security

Прыкладанні Presenter і Audience паспяхова прайшлі комплексны тэст на пранікненне, праведзены Viettel Security. Гэтая строгая ацэнка падкрэслівае нашу прыхільнасць надзейным метадам бяспекі і абароне даных карыстальнікаў.

Тэст, праведзены ў снежні 2023 года, выкарыстоўваў метадалогію Greybox, мадэлюючы сцэнар атакі ў рэальным свеце. Эксперты па бяспецы Viettel старанна ацанілі нашу платформу на наяўнасць уразлівасцяў і вызначылі вобласці, якія трэба палепшыць.

Выяўленыя ўразлівасці былі ліквідаваны AhaSlides каманда інжынераў у супрацоўніцтве з Viettel Security. Укаранёныя меры ўключаюць фільтраванне ўваходных даных, кадзіраванне выходных даных, надзейную палітыку бяспекі кантэнту (CSP) і адпаведныя загалоўкі адказаў для далейшага ўмацавання платформы.

AhaSlides таксама інвеставала ў перадавыя інструменты маніторынгу для выяўлення пагроз у рэжыме рэальнага часу і рэагавання на іх. Акрамя таго, нашы пратаколы рэагавання на інцыдэнты былі ўдасканалены, каб забяспечыць хуткія і эфектыўныя дзеянні ў выпадку парушэння бяспекі.

Бяспечная і абароненая платформа

Карыстальнікі могуць быць упэўнены, што іх даныя абаронены, а іх інтэрактыўны вопыт застаецца ў бяспецы. З пастаяннай ацэнкай бяспекі і пастаянным удасканаленнем мы імкнемся стварыць надзейную і бяспечную платформу для нашых карыстальнікаў.