Vi er glade for at kunne meddele, at AhaSlides har bestået den altomfattende Greybox Pentest, der administreres af Viettel Cyber Security. Denne dybdegående sikkerhedsundersøgelse målrettede vores to flagskibs onlineplatforme: Presenter-appen (presenter.ahaslides.com) og Audience-appen (audience.ahaslides.com).
Sikkerhedstesten, som kørte fra den 20. december til den 27. december 2023, involverede omhyggelig undersøgelse for forskellige sikkerhedssvagheder. Holdet fra Viettel Cyber Security udførte en dybdegående analyse og markerede flere områder for forbedringer i vores system.
Centrale punkter:
- Testperiode: 20.-27. december 2023
- Omfang: Dybdegående analyse af forskellige potentielle sikkerhedssvagheder
- Resultat: AhaSlides bestod testen efter at have adresseret identificerede sårbarheder
- Effekt: Forbedret sikkerhed og pålidelighed for vores brugere
Hvad er Viettel Security's Pentest?
En Pentest, forkortelse for Penetration Test, er i bund og grund et falsk cyberangreb på dit system for at afsløre udnyttelige fejl. I forbindelse med webapplikationer er en Pentest en udtømmende evaluering til at lokalisere, analysere og rapportere om sikkerhedsfejlene i en applikation. Tænk på det som en stresstest for dit systems forsvar – det viser, hvor potentielle brud kan forekomme.
Udført af de erfarne fagfolk hos Viettel Cyber Security, en tophund i cybersikkerhedsområdet, er denne test en del af deres omfattende sikkerhedsservicepakke. Greybox-testmetoden, der bruges i vores vurdering, inkorporerer aspekter af både black box og white box test. Testere har en vis viden om den interne funktion af vores platform, og efterligner et angreb fra en hacker, der tidligere har interageret med systemet.
Ved systematisk at udnytte forskellige facetter af vores web-infrastruktur, fra serverfejlkonfigurationer og cross-site scripting til brudt autentificering og eksponering af følsomme data, giver Pentest et realistisk billede af potentielle trusler. Den er grundig, omfatter forskellige angrebsvektorer og udføres i et kontrolleret miljø for at sikre, at de involverede systemer ikke kommer til skade.
Den endelige rapport identificerer ikke kun sårbarhederne, men prioriterer dem også efter alvor og indeholder anbefalinger til at rette dem. At bestå en så omfattende og streng test understreger styrken af en organisations cybersikkerhed og er en grundlæggende byggesten for tillid i den digitale tidsalder.
Identificerede svagheder og rettelser
Under testfasen blev der fundet adskillige sårbarheder, lige fra Cross-Site Scripting (XSS) til Broken Access Control (BAC) problemer. For at være specifik afslørede testen sårbarheder som Stored XSS på tværs af flere funktioner, Insecure Direct Object References (IDOR) i præsentationssletningsfunktionen og Privilege Escalation på tværs af forskellige funktionaliteter.
AhaSlides teknologiteam, der arbejder hånd i hånd med Viettel Cyber Security, har løst alle identificerede problemer. Foranstaltninger som inputdatafiltrering, dataoutputkodning, brug af passende svarheadere og vedtagelsen af en robust Content Security Policy (CSP) er blevet implementeret for at styrke vores forsvar.
AhaSlides har bestået penetrationstesten af Viettel Security
Både Presenter- og Audience-applikationerne har bestået en omfattende penetrationstest udført af Viettel Security. Denne strenge vurdering understreger vores forpligtelse til robust sikkerhedspraksis og beskyttelse af brugerdata.
Testen, der blev udført i december 2023, brugte en Greybox-metode, der simulerede et angrebsscenarie i den virkelige verden. Viettels sikkerhedseksperter evaluerede omhyggeligt vores platform for sårbarheder og identificerede områder, der kunne forbedres.
De identificerede sårbarheder blev løst af AhaSlides ingeniørteam i samarbejde med Viettel Security. De implementerede foranstaltninger omfatter inputdatafiltrering, outputdatakodning, en robust Content Security Policy (CSP) og passende svaroverskrifter for yderligere at styrke platformen.
AhaSlides har også investeret i avancerede overvågningsværktøjer til trusselsdetektion og reaktion i realtid. Derudover er vores hændelsesvarsprotokoller blevet forfinet for at sikre hurtig og effektiv handling i tilfælde af et sikkerhedsbrud.
En sikker og sikret platform
Brugere kan være sikre på, at deres data er beskyttet, og at deres interaktive oplevelser forbliver sikre. Med løbende sikkerhedsvurderinger og løbende forbedringer er vi forpligtet til at bygge en pålidelig og sikker platform for vores brugere.