Ние сме развълнувани да съобщим, че AhaSlides се справи с всеобхватния Pentest Greybox, администриран от Viettel Cyber Security. Този задълбочен преглед на сигурността беше насочен към нашите две водещи онлайн платформи: приложението Presenter (presenter.ahaslides.com) и приложението Audience (публика.ahaslides.com).
Тестът за сигурност, който се проведе от 20 декември до 27 декември 2023 г., включваше щателно проучване за различни слабости в сигурността. Екипът от Viettel Cyber Security извърши задълбочен анализ и маркира няколко области за подобрение в нашата система.
Ключови точки:
- Тестови период: 20-27 декември 2023 г
- Обхват: Задълбочен анализ на различни потенциални слабости в сигурността
- Резултат: AhaSlides премина теста след адресиране на идентифицираните уязвимости
- Въздействие: Подобрена сигурност и надеждност за нашите потребители
Какво представлява Pentest на Viettel Security?
Pentest, съкратено от Penetration Test, е по същество фалшива кибератака на вашата система за разкриване на експлоатируеми грешки. В контекста на уеб приложенията Pentest е изчерпателна оценка за определяне, анализиране и докладване на пропуските в сигурността в дадено приложение. Гледайте на това като на стрес тест за защитата на вашата система - той показва къде могат да възникнат потенциални пробиви.
Проведен от опитни професионалисти във Viettel Cyber Security, водещо куче в областта на киберсигурността, този тест е част от техния обширен пакет услуги за сигурност. Методологията за тестване на Greybox, използвана в нашата оценка, включва аспекти както на тестване на черна кутия, така и на бяла кутия. Тестерите разполагат с известна информация за вътрешната работа на нашата платформа, имитирайки атака от хакер, който преди това е взаимодействал със системата.
Чрез системно използване на различни аспекти на нашата уеб инфраструктура, от грешни конфигурации на сървъри и междусайтови скриптове до нарушена автентификация и излагане на чувствителни данни, Pentest предлага реалистична картина на потенциални заплахи. Той е задълбочен, обхваща различни вектори на атака и се провежда в контролирана среда, за да се гарантира, че няма реална вреда за включените системи.
Окончателният доклад не само идентифицира уязвимостите, но и ги приоритизира по сериозност и включва препоръки за отстраняването им. Преминаването на такъв всеобхватен и строг тест подчертава силата на киберсигурността на една организация и е основен градивен елемент за доверието в цифровата ера.
Идентифицирани слабости и поправки
По време на фазата на тестване бяха открити няколко уязвимости, вариращи от Cross-Site Scripting (XSS) до проблеми с Broken Access Control (BAC). За да бъдем конкретни, тестът разкри уязвимости като съхраняван XSS в множество функции, несигурни директни препратки към обекти (IDOR) във функцията за изтриване на презентация и ескалация на привилегии в различни функционалности.
Техническият екип на AhaSlides, работещ ръка за ръка с Viettel Cyber Security, адресира всички идентифицирани проблеми. Мерки като филтриране на входни данни, кодиране на изходни данни, използване на подходящи заглавки на отговор и приемане на стабилна политика за сигурност на съдържанието (CSP) са внедрени, за да подсилят нашите защити.
AhaSlides успешно премина теста за проникване от Viettel Security
И двете приложения Presenter и Audience преминаха успешно цялостен тест за проникване, проведен от Viettel Security. Тази строга оценка подчертава нашия ангажимент към стабилни практики за сигурност и защита на потребителските данни.
Тестът, проведен през декември 2023 г., използва методология на Greybox, симулиращ сценарий на атака в реалния свят. Експертите по сигурността на Viettel щателно оцениха нашата платформа за уязвимости, като идентифицираха области за подобрение.
Идентифицираните уязвимости бяха адресирани от инженерния екип на AhaSlides в сътрудничество с Viettel Security. Приложените мерки включват филтриране на входни данни, кодиране на изходни данни, стабилна политика за сигурност на съдържанието (CSP) и подходящи заглавки на отговор за допълнително укрепване на платформата.
AhaSlides също инвестира в усъвършенствани инструменти за наблюдение за откриване и реагиране на заплахи в реално време. Освен това нашите протоколи за реакция при инциденти са усъвършенствани, за да осигурят бързи и ефективни действия в случай на пробив в сигурността.
Безопасна и защитена платформа
Потребителите могат да бъдат сигурни, че техните данни са защитени и техните интерактивни преживявания остават защитени. С непрекъснати оценки на сигурността и непрекъснато подобрение, ние се ангажираме да изградим надеждна и сигурна платформа за нашите потребители.
