Oduševljeni smo što to možemo objaviti AhaSlides je pristupio sveobuhvatnom Greybox Pentest-u kojim upravlja Viettel Cyber Security. Ovo dubinsko ispitivanje sigurnosti ciljalo je na naše dvije vodeće online platforme: aplikaciju Presenter (presenter.ahaslides.com) i aplikaciju Audience (public.ahaslides.com).
Sigurnosni test, koji je trajao od 20. decembra do 27. decembra 2023. godine, uključivao je pedantno ispitivanje različitih sigurnosnih slabosti. Tim iz Viettel Cyber Security izvršio je detaljnu analizu i označio nekoliko oblasti za poboljšanje u našem sistemu.
Ključne točke:
- Testni period: 20-27. decembar 2023
- Opseg: Dubinska analiza različitih potencijalnih sigurnosnih slabosti
- Rezultat: AhaSlides prošao test nakon što je adresirao identifikovane ranjivosti
- Uticaj: Poboljšana sigurnost i pouzdanost za naše korisnike
Šta je Viettel Security Pentest?
Pentest, skraćenica od Penetration Test, je u suštini lažni sajber napad na vaš sistem za otkrivanje grešaka koje se mogu iskoristiti. U kontekstu web aplikacija, Pentest je iscrpna evaluacija za preciziranje, analizu i izvještavanje o sigurnosnim nedostacima unutar aplikacije. Razmišljajte o tome kao o testu stresa za odbranu vašeg sistema - on pokazuje gdje bi se potencijalni proboji mogli dogoditi.
Proveden od strane iskusnih profesionalaca u Viettel Cyber Security, vrhunskom psu u prostoru kibernetičke sigurnosti, ovaj test je dio njihovog opsežnog paketa sigurnosnih usluga. Metodologija testiranja Greyboxa korištena u našoj procjeni uključuje aspekte testiranja crne i bijele kutije. Testeri imaju neke informacije o internom radu naše platforme, oponašajući napad hakera koji ima neku prethodnu interakciju sa sistemom.
Sistematskim iskorišćavanjem različitih aspekata naše web infrastrukture, od pogrešne konfiguracije servera i skriptovanja na više lokacija do pokvarene autentifikacije i izlaganja osjetljivim podacima, Pentest nudi realističnu sliku potencijalnih prijetnji. To je temeljno, obuhvata različite vektore napada i provodi se u kontrolisanom okruženju kako bi se osiguralo da nema stvarne štete za uključene sisteme.
Konačni izvještaj ne samo da identifikuje ranjivosti, već ih i daje prioritet prema ozbiljnosti i uključuje preporuke za njihovo otklanjanje. Polaganje tako sveobuhvatnog i rigoroznog testa naglašava snagu sajber-sigurnosti organizacije i temeljni je blok za povjerenje u digitalnom dobu.
Identifikovane slabosti i popravci
Tokom faze testiranja, pronađeno je nekoliko ranjivosti, u rasponu od Cross-Site Scripting-a (XSS) do problema s pokvarenom kontrolom pristupa (BAC). Da budemo precizni, test je otkrio ranjivosti poput pohranjenog XSS-a u više funkcija, nesigurnih direktnih referenci objekata (IDOR) u funkciji brisanja prezentacije i eskalacije privilegija u različitim funkcionalnostima.
The AhaSlides Tehnički tim, koji radi ruku pod ruku sa Viettel Cyber Security, pozabavio se svim identifikovanim problemima. Mjere kao što su filtriranje ulaznih podataka, kodiranje izlaznih podataka, korištenje odgovarajućih zaglavlja odgovora i usvajanje robusne politike sigurnosti sadržaja (CSP) su implementirane kako bismo ojačali našu odbranu.
AhaSlides Uspješno prošao test penetracije od strane Viettel Security
I aplikacije Presenter i Audience uspješno su prošle sveobuhvatni test penetracije koji je proveo Viettel Security. Ova rigorozna procjena naglašava našu posvećenost robusnim sigurnosnim praksama i zaštiti korisničkih podataka.
Test, sproveden u decembru 2023., koristio je metodologiju Greyboxa, simulirajući scenario napada u stvarnom svetu. Viettelovi stručnjaci za sigurnost pažljivo su procijenili našu platformu zbog ranjivosti, identificirajući područja za poboljšanje.
Identifikovane ranjivosti su adresirane od strane AhaSlides inženjerski tim u saradnji sa Viettel Security. Primijenjene mjere uključuju filtriranje ulaznih podataka, kodiranje izlaznih podataka, robusnu politiku sigurnosti sadržaja (CSP) i odgovarajuća zaglavlja odgovora za dalje jačanje platforme.
AhaSlides takođe je investirao u napredne alate za praćenje za otkrivanje pretnji i odgovor u realnom vremenu. Pored toga, naši protokoli za reagovanje na incidente su poboljšani kako bi se osiguralo brzo i efikasno djelovanje u slučaju kršenja sigurnosti.
Sigurna i zaštićena platforma
Korisnici mogu biti sigurni da su njihovi podaci zaštićeni i da njihova interaktivna iskustva ostaju sigurna. Uz stalne procjene sigurnosti i kontinuirano poboljšanje, posvećeni smo izgradnji pouzdane i sigurne platforme za naše korisnike.
