AhaSlides prošel penetračním testem Viettel Cyber ​​Security

Oznámení

Tým AhaSlides 30 srpen, 2024 4 min

ahaslides prošel penetračním testem

Jsme nadšeni, že můžeme oznámit, že AhaSlides zvítězila ve všeobjímajícím Greybox Pentestu spravovaném Viettel Cyber ​​Security. Tato hloubková bezpečnostní kontrola se zaměřila na naše dvě vlajkové lodi online platforem: aplikaci Presenter (presenter.ahaslides.com) a aplikaci Publikum (audience.ahaslides.com).

Bezpečnostní test, který probíhal od 20. prosince do 27. prosince 2023, zahrnoval pečlivé zkoumání různých bezpečnostních slabin. Tým z Viettel Cyber ​​Security provedl hloubkovou analýzu a označil několik oblastí pro zlepšení v našem systému.

Klíčové body:

  • Zkušební období: 20.–27. prosince 2023
  • Rozsah: Hloubková analýza různých potenciálních bezpečnostních slabin
  • Výsledek: AhaSlides prošel testem po vyřešení zjištěných zranitelností
  • Dopad: Lepší zabezpečení a spolehlivost pro naše uživatele

Co je Pentest Viettel Security?

Pentest, zkratka pro Penetration Test, je v podstatě falešný kybernetický útok na váš systém s cílem odhalit zneužitelné chyby. V kontextu webových aplikací je Pentest vyčerpávajícím hodnocením, které umožňuje určit, analyzovat a informovat o bezpečnostních nedostatcích v aplikaci. Berte to jako zátěžový test obrany vašeho systému – ukazuje, kde by mohlo dojít k potenciálnímu narušení.

Tento test, který provedli ostřílení profesionálové z Viettel Cyber ​​Security, špičkového psa v oblasti kybernetické bezpečnosti, je součástí jejich rozsáhlé sady bezpečnostních služeb. Metodika testování Greybox použitá v našem hodnocení zahrnuje aspekty testování černé i bílé skříňky. Testeři mají nějaké informace o vnitřním fungování naší platformy, napodobují útok hackera, který má nějakou předchozí interakci se systémem.

Systematickým využíváním různých aspektů naší webové infrastruktury, od chybných konfigurací serverů a skriptování mezi stránkami až po nefunkční ověřování a vystavení citlivých dat, nabízí Pentest realistický obraz potenciálních hrozeb. Je důkladný, zahrnuje různé útočné vektory a je veden v kontrolovaném prostředí, aby nedošlo k žádnému skutečnému poškození zúčastněných systémů.

Závěrečná zpráva nejen identifikuje zranitelnosti, ale také je seřadí podle závažnosti a obsahuje doporučení pro jejich odstranění. Absolvování takového komplexního a přísného testu podtrhuje sílu kybernetické bezpečnosti organizace a je základním stavebním kamenem důvěry v digitálním věku.

Zjištěné slabiny a opravy

Během testovací fáze bylo nalezeno několik zranitelností, od Cross-Site Scripting (XSS) po problémy s Broken Access Control (BAC). Abychom byli konkrétní, test odhalil zranitelnosti, jako je uložený XSS napříč různými funkcemi, nezabezpečené přímé odkazy na objekt (IDOR) ve funkci mazání prezentace a eskalace privilegií napříč různými funkcemi.

Technický tým AhaSlides, spolupracující ruku v ruce s Viettel Cyber ​​Security, vyřešil všechny zjištěné problémy. Pro posílení naší obrany byla implementována opatření, jako je filtrování vstupních dat, kódování výstupu dat, použití příslušných hlaviček odpovědí a přijetí robustní zásady zabezpečení obsahu (CSP).

AhaSlides úspěšně prošly penetračním testem společnosti Viettel Security

Aplikace Presenter i Audience úspěšně prošly komplexním penetračním testem, který provedla Viettel Security. Toto přísné hodnocení podtrhuje náš závazek k robustním bezpečnostním postupům a ochraně uživatelských dat.

Test provedený v prosinci 2023 využíval metodologii Greybox, která simulovala scénář útoku v reálném světě. Bezpečnostní experti Viettel pečlivě vyhodnotili naši platformu z hlediska zranitelnosti a identifikovali oblasti, které je třeba zlepšit.

Zjištěná zranitelnost byla řešena inženýrským týmem AhaSlides ve spolupráci s Viettel Security. Mezi implementovaná opatření patří filtrování vstupních dat, kódování výstupních dat, robustní zásady zabezpečení obsahu (CSP) a vhodné hlavičky odpovědí pro další posílení platformy.

AhaSlides také investoval do pokročilých monitorovacích nástrojů pro detekci hrozeb v reálném čase a reakci. Kromě toho byly naše protokoly reakce na incidenty vylepšeny, aby zajistily rychlé a efektivní akce v případě narušení bezpečnosti.

Bezpečná a zabezpečená platforma

Uživatelé si mohou být jisti, že jejich data jsou chráněna a jejich interaktivní zážitky zůstávají v bezpečí. Díky neustálým bezpečnostním hodnocením a neustálému zlepšování jsme odhodláni vybudovat spolehlivou a bezpečnou platformu pro naše uživatele.