Mae'n bleser gennym gyhoeddi hynny AhaSlides wedi derbyn y Pentest hollgynhwysol Greybox a weinyddir gan Viettel Cyber Security. Targedodd yr archwiliad diogelwch manwl hwn ein dau lwyfan ar-lein blaenllaw: yr ap Cyflwynydd (cyflwynydd.ahaslides.com) a'r ap Cynulleidfa (cynulleidfa.ahaslides.com).
Roedd y prawf diogelwch, a oedd yn rhedeg rhwng Rhagfyr 20 a Rhagfyr 27, 2023, yn cynnwys archwilio manwl am amrywiol wendidau diogelwch. Cynhaliodd tîm Viettel Cyber Security ddadansoddiad manwl a thynnu sylw at nifer o feysydd i'w gwella o fewn ein system.
Pwyntiau Allweddol:
- Cyfnod Prawf: Rhagfyr 20-27, 2023
- Cwmpas: Dadansoddiad manwl o amrywiol wendidau diogelwch posibl
- Canlyniad: AhaSlides pasio'r prawf ar ôl mynd i'r afael â gwendidau a nodwyd
- Effaith: Gwell diogelwch a dibynadwyedd i'n defnyddwyr
Beth yw Pentest Viettel Security?
Mae Pentest, sy'n fyr ar gyfer Prawf Treiddiad, yn ei hanfod yn ymosodiad seibr ffug ar eich system i ddarganfod chwilod y gellir eu hecsbloetio. Yng nghyd-destun cymwysiadau gwe, mae Pentest yn werthusiad hollgynhwysfawr i nodi, dadansoddi ac adrodd ar y diffygion diogelwch o fewn rhaglen. Meddyliwch amdano fel prawf straen ar gyfer amddiffynfeydd eich system - mae'n dangos lle gallai toriadau posibl ddigwydd.
Wedi'i gynnal gan y gweithwyr proffesiynol profiadol yn Viettel Cyber Security, ci gorau yn y gofod seiberddiogelwch, mae'r prawf hwn yn rhan o'u cyfres gwasanaeth diogelwch helaeth. Mae'r fethodoleg profi Greybox a ddefnyddiwyd yn ein hasesiad yn ymgorffori agweddau ar brofi blwch du a blwch gwyn. Mae gan brofwyr rywfaint o ddeallusrwydd am weithrediad mewnol ein platfform, gan ddynwared ymosodiad gan haciwr sydd â rhywfaint o ryngweithio blaenorol â'r system.
Trwy fanteisio'n systematig ar wahanol agweddau ar ein seilwaith gwe, o gamgyflunio gweinyddwyr a sgriptio traws-safle i ddilysu toredig a datguddiad data sensitif, mae'r Pentest yn cynnig darlun realistig o fygythiadau posibl. Mae'n drylwyr, gan gwmpasu fectorau ymosod amrywiol, ac fe'i cynhelir mewn amgylchedd rheoledig i sicrhau nad oes unrhyw niwed gwirioneddol i'r systemau dan sylw.
Mae'r adroddiad terfynol nid yn unig yn nodi'r gwendidau ond hefyd yn eu blaenoriaethu yn ôl difrifoldeb ac yn cynnwys argymhellion ar gyfer eu trwsio. Mae pasio prawf mor gynhwysfawr a thrylwyr yn tanlinellu cryfder seiberddiogelwch sefydliad ac mae'n bloc adeiladu sylfaenol ar gyfer ymddiriedaeth yn yr oes ddigidol.
Gwendidau ac Atgyweiriadau a Nodwyd
Yn ystod y cyfnod profi, canfuwyd nifer o wendidau, yn amrywio o Sgriptio Traws-Safle (XSS) i faterion Rheoli Mynediad Broken (BAC). I fod yn benodol, datgelodd y prawf wendidau fel XSS Wedi'i Storio ar draws nodweddion lluosog, Cyfeirnodau Gwrthrych Uniongyrchol Anniogel (IDOR) yn swyddogaeth dileu Cyflwyniad, a Dwysáu Breintiau ar draws amrywiol swyddogaethau.
Mae gan AhaSlides tîm technoleg, gan weithio law yn llaw â Viettel Cyber Security, wedi mynd i'r afael â'r holl faterion a nodwyd. Mae mesurau fel hidlo data mewnbwn, amgodio allbwn data, defnyddio penawdau ymateb priodol, a mabwysiadu Polisi Diogelwch Cynnwys (CSP) cadarn wedi'u rhoi ar waith i gryfhau ein hamddiffynfeydd.
AhaSlides Wedi llwyddo yn y Prawf Treiddiad gan Viettel Security
Mae'r ceisiadau Cyflwynydd a Chynulleidfa wedi llwyddo mewn prawf treiddiad cynhwysfawr a gynhaliwyd gan Viettel Security. Mae'r asesiad trwyadl hwn yn tanlinellu ein hymrwymiad i arferion diogelwch cadarn a diogelu data defnyddwyr.
Roedd y prawf, a gynhaliwyd ym mis Rhagfyr 2023, yn defnyddio methodoleg Greybox, gan efelychu senario ymosodiad yn y byd go iawn. Gwerthusodd arbenigwyr diogelwch Viettel ein platfform ar gyfer gwendidau, gan nodi meysydd i'w gwella.
Aethpwyd i'r afael â'r gwendidau a nodwyd gan y AhaSlides tîm peirianneg mewn cydweithrediad â Viettel Security. Mae’r mesurau a roddwyd ar waith yn cynnwys hidlo data mewnbwn, amgodio data allbwn, Polisi Diogelwch Cynnwys (CSP) cadarn, a phenawdau ymateb priodol i atgyfnerthu’r llwyfan ymhellach.
AhaSlides hefyd wedi buddsoddi mewn offer monitro uwch ar gyfer canfod bygythiadau amser real ac ymateb iddynt. Yn ogystal, mae ein protocolau ymateb i ddigwyddiadau wedi'u mireinio i sicrhau gweithredu cyflym ac effeithiol rhag ofn y bydd toriad diogelwch.
Llwyfan Diogel a Sicr
Gall defnyddwyr fod yn hyderus bod eu data wedi'i ddiogelu a bod eu profiadau rhyngweithiol yn parhau'n ddiogel. Gydag asesiadau diogelwch parhaus a gwelliant parhaus, rydym wedi ymrwymo i adeiladu llwyfan dibynadwy a diogel ar gyfer ein defnyddwyr.