Είμαστε στην ευχάριστη θέση να ανακοινώσουμε ότι το AhaSlides έχει λάβει το ολοκληρωμένο Greybox Pentest που διαχειρίζεται η Viettel Cyber Security. Αυτή η εις βάθος εξέταση ασφαλείας στόχευσε τις δύο κορυφαίες διαδικτυακές πλατφόρμες μας: την εφαρμογή Παρουσιαστής (presenter.ahaslides.com) και την εφαρμογή Κοινό (audience.ahaslides.com).
Η δοκιμή ασφαλείας, η οποία διεξήχθη από τις 20 Δεκεμβρίου έως τις 27 Δεκεμβρίου 2023, περιελάμβανε σχολαστική διερεύνηση για διάφορες αδυναμίες ασφαλείας. Η ομάδα της Viettel Cyber Security πραγματοποίησε μια ανάλυση σε βάθος και επισήμανε αρκετές περιοχές για βελτίωση στο σύστημά μας.
Βασικά σημεία:
- Περίοδος δοκιμής: 20-27 Δεκεμβρίου 2023
- Πεδίο εφαρμογής: Σε βάθος ανάλυση διαφόρων πιθανών αδυναμιών ασφάλειας
- Αποτέλεσμα: Το AhaSlides πέρασε τη δοκιμή αφού αντιμετώπισε εντοπισμένα τρωτά σημεία
- Αντίκτυπος: Βελτιωμένη ασφάλεια και αξιοπιστία για τους χρήστες μας
Τι είναι το Pentest της Viettel Security;
Το Pentest, συντομογραφία του Penetration Test, είναι ουσιαστικά μια εικονική κυβερνοεπίθεση στο σύστημά σας για την αποκάλυψη εκμεταλλεύσιμων σφαλμάτων. Στο πλαίσιο των διαδικτυακών εφαρμογών, το Pentest είναι μια εξαντλητική αξιολόγηση για τον εντοπισμό, την ανάλυση και την αναφορά σχετικά με τα ελαττώματα ασφαλείας σε μια εφαρμογή. Σκεφτείτε το ως τεστ πίεσης για την άμυνα του συστήματός σας - δείχνει πού θα μπορούσαν να συμβούν πιθανές παραβιάσεις.
Διεξάχθηκε από τους έμπειρους επαγγελματίες της Viettel Cyber Security, ενός κορυφαίου σκύλου στον χώρο της κυβερνοασφάλειας, αυτή η δοκιμή αποτελεί μέρος της εκτεταμένης σουίτας υπηρεσιών ασφαλείας τους. Η μεθοδολογία δοκιμών Greybox που χρησιμοποιήθηκε στην αξιολόγησή μας ενσωματώνει πτυχές τόσο του μαύρου κουτιού όσο και του λευκού κουτιού. Οι δοκιμαστές έχουν κάποια πληροφορία για την εσωτερική λειτουργία της πλατφόρμας μας, μιμούμενοι μια επίθεση από έναν χάκερ που έχει κάποια προηγούμενη αλληλεπίδραση με το σύστημα.
Εκμεταλλευόμενοι συστηματικά διάφορες πτυχές της υποδομής ιστού μας, από εσφαλμένες ρυθμίσεις παραμέτρων διακομιστή και δέσμες ενεργειών μεταξύ τοποθεσιών έως χαλασμένο έλεγχο ταυτότητας και έκθεση σε ευαίσθητα δεδομένα, το Pentest προσφέρει μια ρεαλιστική εικόνα πιθανών απειλών. Είναι ενδελεχής, περιλαμβάνει διάφορους φορείς επίθεσης και διεξάγεται σε ελεγχόμενο περιβάλλον για να διασφαλιστεί ότι δεν υπάρχει πραγματική βλάβη στα εμπλεκόμενα συστήματα.
Η τελική έκθεση όχι μόνο εντοπίζει τα τρωτά σημεία, αλλά και τα ιεραρχεί κατά σοβαρότητα και περιλαμβάνει συστάσεις για την επίλυσή τους. Η επιτυχία ενός τόσο περιεκτικού και αυστηρού τεστ υπογραμμίζει τη δύναμη της κυβερνοασφάλειας ενός οργανισμού και αποτελεί θεμελιώδες δομικό στοιχείο για την εμπιστοσύνη στην ψηφιακή εποχή.
Εντοπίστηκαν αδυναμίες και διορθώσεις
Κατά τη φάση της δοκιμής, εντοπίστηκαν πολλά τρωτά σημεία, που κυμαίνονται από θέματα δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) έως ζητήματα Broken Access Control (BAC). Για να είμαστε συγκεκριμένοι, η δοκιμή αποκάλυψε ευπάθειες όπως το Αποθηκευμένο XSS σε πολλαπλές δυνατότητες, τις Μη ασφαλείς αναφορές απευθείας αντικειμένου (IDOR) στη συνάρτηση διαγραφής παρουσίασης και την κλιμάκωση προνομίων σε διάφορες λειτουργίες.
Η ομάδα τεχνολογίας AhaSlides, συνεργαζόμενη με την Viettel Cyber Security, έχει αντιμετωπίσει όλα τα εντοπισμένα ζητήματα. Μέτρα όπως το φιλτράρισμα δεδομένων εισόδου, η κωδικοποίηση εξόδου δεδομένων, η χρήση κατάλληλων κεφαλίδων απόκρισης και η υιοθέτηση μιας ισχυρής Πολιτικής Ασφάλειας Περιεχομένου (CSP) έχουν εφαρμοστεί για την ενίσχυση της άμυνάς μας.
Το AhaSlides πέρασε με επιτυχία τη δοκιμή διείσδυσης από την Viettel Security
Τόσο η εφαρμογή Παρουσιαστής όσο και η εφαρμογή κοινού πέρασαν με επιτυχία μια ολοκληρωμένη δοκιμή διείσδυσης που διεξήχθη από την Viettel Security. Αυτή η αυστηρή αξιολόγηση υπογραμμίζει τη δέσμευσή μας για ισχυρές πρακτικές ασφάλειας και προστασία δεδομένων χρηστών.
Η δοκιμή, που διεξήχθη τον Δεκέμβριο του 2023, χρησιμοποίησε μια μεθοδολογία Greybox, που προσομοιώνει ένα σενάριο επίθεσης σε πραγματικό κόσμο. Οι ειδικοί ασφαλείας της Viettel αξιολόγησαν σχολαστικά την πλατφόρμα μας για τρωτά σημεία, εντοπίζοντας τομείς προς βελτίωση.
Τα τρωτά σημεία που εντοπίστηκαν αντιμετωπίστηκαν από την ομάδα μηχανικών AhaSlides σε συνεργασία με την Viettel Security. Τα μέτρα που εφαρμόστηκαν περιλαμβάνουν φιλτράρισμα δεδομένων εισόδου, κωδικοποίηση δεδομένων εξόδου, ισχυρή Πολιτική Ασφάλειας Περιεχομένου (CSP) και κατάλληλες κεφαλίδες απόκρισης για περαιτέρω ενίσχυση της πλατφόρμας.
Η AhaSlides έχει επίσης επενδύσει σε προηγμένα εργαλεία παρακολούθησης για ανίχνευση και απόκριση απειλών σε πραγματικό χρόνο. Επιπλέον, τα πρωτόκολλά μας απόκρισης συμβάντων έχουν βελτιωθεί για να διασφαλιστεί η ταχεία και αποτελεσματική δράση σε περίπτωση παραβίασης της ασφάλειας.
Μια ασφαλής και ασφαλής πλατφόρμα
Οι χρήστες μπορούν να είναι βέβαιοι ότι τα δεδομένα τους προστατεύονται και ότι οι διαδραστικές τους εμπειρίες παραμένουν ασφαλείς. Με συνεχείς αξιολογήσεις ασφαλείας και συνεχή βελτίωση, δεσμευόμαστε να δημιουργήσουμε μια αξιόπιστη και ασφαλή πλατφόρμα για τους χρήστες μας.
