Nalipay kami nga ipahibalo kana AhaSlides nakadaog sa tanan nga naglangkob sa Greybox Pentest nga gidumala sa Viettel Cyber Security. Kini nga lawom nga pagsusi sa seguridad nagpunting sa among duha ka punoan nga online platform: ang Presenter app (presenter.ahaslides.com) ug ang Audience app (audience.ahaslides.com).
Ang pagsulay sa seguridad, nga nagdagan gikan sa Disyembre 20 hangtod Disyembre 27, 2023, naglambigit sa makuti nga pagsusi alang sa lainlaing mga kahuyang sa seguridad. Ang team gikan sa Viettel Cyber Security nihimo ug lawom nga pagtuki ug nag-flag sa daghang mga lugar para sa pagpaayo sulod sa among sistema.
Mga Butang nga Punto:
- Panahon sa Pagsulay: Disyembre 20-27, 2023
- Kasangkaran: Depth analysis sa lain-laing mga potensyal nga kahuyang sa seguridad
- Resulta: AhaSlides nakapasar sa eksaminasyon human matubag ang giila nga mga kahuyangan
- Epekto: Gipauswag ang seguridad ug kasaligan alang sa among mga tiggamit
Unsa ang Pentest sa Viettel Security?
Usa ka Pentest, mubo alang sa Penetration Test, usa ka bugalbugal nga cyberattack sa imong sistema aron mahibal-an ang mapahimuslanon nga mga bug. Sa konteksto sa mga aplikasyon sa web, ang Pentest usa ka kompleto nga pagtimbang-timbang aron matudlo, analisahon, ug ireport ang mga sayup sa seguridad sa sulod sa usa ka aplikasyon. Hunahunaa kini ingon usa ka pagsulay sa kapit-os alang sa mga depensa sa imong sistema - kini nagpakita kung diin ang mga potensyal nga paglapas mahimong mahitabo.
Gipahigayon sa mga batid nga propesyonal sa Viettel Cyber Security, usa ka top dog sa cybersecurity space, kini nga pagsulay kabahin sa ilang halapad nga security service suite. Ang pamaagi sa pagsulay sa Greybox nga gigamit sa among pagsusi nag-apil sa mga aspeto sa parehas nga pagsulay sa itom nga kahon ug puti nga kahon. Ang mga tester adunay pipila ka mga intel sa internal nga pagtrabaho sa among plataporma, nga nagsundog sa usa ka pag-atake sa usa ka hacker nga adunay una nga interaksyon sa sistema.
Pinaagi sa sistematikong pagpahimulos sa lainlaing mga bahin sa among imprastraktura sa web, gikan sa sayop nga pag-configure sa server ug cross-site scripting hangtod sa nabuak nga pag-authenticate ug sensitibo nga pagkaladlad sa datos, ang Pentest nagtanyag usa ka realistiko nga litrato sa mga potensyal nga hulga. Kini hingpit, naglangkob sa lain-laing mga vector sa pag-atake, ug gihimo sa usa ka kontrolado nga palibot aron masiguro nga walay tinuod nga kadaot sa mga sistema nga nalambigit.
Ang katapusan nga taho wala lamang nagpaila sa mga kahuyangan apan nag-una usab niini pinaagi sa kagrabe ug naglakip sa mga rekomendasyon sa pag-ayo niini. Ang pagpasa sa ingon nga komprehensibo ug higpit nga pagsulay nagpasiugda sa kalig-on sa cybersecurity sa usa ka organisasyon ug usa ka sukaranan nga bloke sa pagtukod alang sa pagsalig sa digital nga edad.
Nailhan nga mga Kaluyahon ug Pag-ayo
Atol sa yugto sa pagsulay, daghang mga kahuyangan ang nakit-an, gikan sa Cross-Site Scripting (XSS) hangtod sa mga isyu sa Broken Access Control (BAC). Aron mahimong espesipiko, ang pagsulay nakadiskubre sa mga kahuyangan sama sa Stored XSS sa daghang mga bahin, Insecure Direct Object References (IDOR) sa Presentation deletion function, ug Privilege Escalation sa lainlaing mga gamit.
ang AhaSlides tech team, nagtrabaho sa kamot-sa-kamot uban sa Viettel Cyber Security, natubag ang tanan nga giila nga mga isyu. Ang mga lakang sama sa pagsala sa data sa input, pag-encode sa output sa datos, paggamit sa angay nga mga ulohan sa tubag, ug ang pagsagop sa usa ka lig-on nga Patakaran sa Seguridad sa Kontento (CSP) gipatuman aron mapalig-on ang atong mga depensa.
AhaSlides Malampusong Nakapasar sa Penetration Test sa Viettel Security
Parehong ang mga aplikasyon sa Presenter ug Audience malampuson nga nakapasar sa usa ka komprehensibo nga pagsulay sa pagsulod nga gihimo sa Viettel Security. Kining higpit nga pagsusi nagpasiugda sa among pasalig sa lig-on nga mga gawi sa seguridad ug pagpanalipod sa datos sa tiggamit.
Ang pagsulay, nga gihimo kaniadtong Disyembre 2023, naggamit usa ka pamaagi sa Greybox, nga nagsundog sa usa ka senaryo sa pag-atake sa tinuud nga kalibutan. Gisusi pag-ayo sa mga eksperto sa seguridad sa Viettel ang among plataporma alang sa mga kahuyangan, nga nag-ila sa mga lugar nga kinahanglan nga pauswagon.
Ang giila nga mga kahuyangan gitubag sa AhaSlides engineering team sa kolaborasyon sa Viettel Security. Ang mga lakang nga gipatuman naglakip sa input data filtering, output data encoding, usa ka lig-on nga Content Security Policy (CSP), ug tukma nga mga header sa tubag aron mas mapalig-on ang plataporma.
AhaSlides namuhunan usab sa mga advanced nga himan sa pagmonitor alang sa tinuud nga oras nga pagtuki sa hulga ug pagtubag. Dugang pa, ang among mga protocol sa pagtubag sa insidente gipino aron masiguro ang paspas ug epektibo nga aksyon kung adunay paglapas sa seguridad.
Usa ka Luwas ug Lig-on nga Plataporma
Makasalig ang mga tiggamit nga ang ilang datos gipanalipdan ug ang ilang mga interactive nga kasinatian nagpabilin nga luwas. Uban sa nagpadayon nga mga pagsusi sa seguridad ug padayon nga pag-uswag, kami komitado sa pagtukod og kasaligan ug luwas nga plataporma alang sa among mga tiggamit.