Jsme nadšeni, že můžeme oznámit, že AhaSlides zvítězila ve všeobjímajícím Greybox Pentestu spravovaném Viettel Cyber Security. Tato hloubková bezpečnostní kontrola se zaměřila na naše dvě vlajkové lodi online platforem: aplikaci Presenter (presenter.ahaslides.com) a aplikaci Publikum (audience.ahaslides.com).
Bezpečnostní test, který probíhal od 20. prosince do 27. prosince 2023, zahrnoval pečlivé zkoumání různých bezpečnostních slabin. Tým z Viettel Cyber Security provedl hloubkovou analýzu a označil několik oblastí pro zlepšení v našem systému.
Klíčové body:
- Zkušební období: 20.–27. prosince 2023
- Rozsah: Hloubková analýza různých potenciálních bezpečnostních slabin
- Výsledek: AhaSlides prošel testem po vyřešení zjištěných zranitelností
- Dopad: Lepší zabezpečení a spolehlivost pro naše uživatele
Co je Pentest Viettel Security?
Pentest, zkratka pro Penetration Test, je v podstatě falešný kybernetický útok na váš systém s cílem odhalit zneužitelné chyby. V kontextu webových aplikací je Pentest vyčerpávajícím hodnocením, které umožňuje určit, analyzovat a informovat o bezpečnostních nedostatcích v aplikaci. Berte to jako zátěžový test obrany vašeho systému – ukazuje, kde by mohlo dojít k potenciálnímu narušení.
Tento test, který provedli ostřílení profesionálové z Viettel Cyber Security, špičkového psa v oblasti kybernetické bezpečnosti, je součástí jejich rozsáhlé sady bezpečnostních služeb. Metodika testování Greybox použitá v našem hodnocení zahrnuje aspekty testování černé i bílé skříňky. Testeři mají nějaké informace o vnitřním fungování naší platformy, napodobují útok hackera, který má nějakou předchozí interakci se systémem.
Systematickým využíváním různých aspektů naší webové infrastruktury, od chybných konfigurací serverů a skriptování mezi stránkami až po nefunkční ověřování a vystavení citlivých dat, nabízí Pentest realistický obraz potenciálních hrozeb. Je důkladný, zahrnuje různé útočné vektory a je veden v kontrolovaném prostředí, aby nedošlo k žádnému skutečnému poškození zúčastněných systémů.
Závěrečná zpráva nejen identifikuje zranitelnosti, ale také je seřadí podle závažnosti a obsahuje doporučení pro jejich odstranění. Absolvování takového komplexního a přísného testu podtrhuje sílu kybernetické bezpečnosti organizace a je základním stavebním kamenem důvěry v digitálním věku.
Zjištěné slabiny a opravy
Během testovací fáze bylo nalezeno několik zranitelností, od Cross-Site Scripting (XSS) po problémy s Broken Access Control (BAC). Abychom byli konkrétní, test odhalil zranitelnosti, jako je uložený XSS napříč různými funkcemi, nezabezpečené přímé odkazy na objekt (IDOR) ve funkci mazání prezentace a eskalace privilegií napříč různými funkcemi.
Technický tým AhaSlides, spolupracující ruku v ruce s Viettel Cyber Security, vyřešil všechny zjištěné problémy. Pro posílení naší obrany byla implementována opatření, jako je filtrování vstupních dat, kódování výstupu dat, použití příslušných hlaviček odpovědí a přijetí robustní zásady zabezpečení obsahu (CSP).
AhaSlides úspěšně prošly penetračním testem společnosti Viettel Security
Aplikace Presenter i Audience úspěšně prošly komplexním penetračním testem, který provedla Viettel Security. Toto přísné hodnocení podtrhuje náš závazek k robustním bezpečnostním postupům a ochraně uživatelských dat.
Test provedený v prosinci 2023 využíval metodologii Greybox, která simulovala scénář útoku v reálném světě. Bezpečnostní experti Viettel pečlivě vyhodnotili naši platformu z hlediska zranitelnosti a identifikovali oblasti, které je třeba zlepšit.
Zjištěná zranitelnost byla řešena inženýrským týmem AhaSlides ve spolupráci s Viettel Security. Mezi implementovaná opatření patří filtrování vstupních dat, kódování výstupních dat, robustní zásady zabezpečení obsahu (CSP) a vhodné hlavičky odpovědí pro další posílení platformy.
AhaSlides také investoval do pokročilých monitorovacích nástrojů pro detekci hrozeb v reálném čase a reakci. Kromě toho byly naše protokoly reakce na incidenty vylepšeny, aby zajistily rychlé a efektivní akce v případě narušení bezpečnosti.
Bezpečná a zabezpečená platforma
Uživatelé si mohou být jisti, že jejich data jsou chráněna a jejich interaktivní zážitky zůstávají v bezpečí. Díky neustálým bezpečnostním hodnocením a neustálému zlepšování jsme odhodláni vybudovat spolehlivou a bezpečnou platformu pro naše uživatele.