AhaSlides Viettel Cyber ​​Security-ren Penetrazio Testa gainditu du

Iragarpenak

AhaSlides Team 05 abendua, 2024 4 irakurri min

Viettel sartze-probaren ziurtagiria ahaslideetarako

Pozik gaude hori iragartzeak AhaSlides Viettel Cyber ​​Security-k kudeatzen duen Greybox Pentest osoa gainditu du. Segurtasun-azterketa sakon honek gure bi lineako plataforma enblematikoen xede zituen: Presenter aplikazioa (aurkezlea.ahaslides.com) eta Audience aplikazioa (audience.ahaslides.com).

20ko abenduaren 27tik abenduaren 2023ra egin zen segurtasun probak hainbat segurtasun ahultasunen azterketa zorrotza egin zuen. Viettel Cyber ​​Security-ko taldeak azterketa sakon bat egin zuen eta gure sisteman hobetu beharreko hainbat arlo markatu zituen.

Giltza puntuak:

  • Proba epea: 20ko abenduaren 27tik 2023ra
  • Eremua: Segurtasun ahultasun potentzialen hainbat azterketa sakona
  • Emaitza: AhaSlides identifikatutako ahuleziak zuzendu ondoren proba gainditu du
  • Eragina: gure erabiltzaileentzako segurtasuna eta fidagarritasuna hobetzea

Zer da Viettel Security-ren Pentest?

Pentest A, Penetration Test laburdura, funtsean zure sistemaren aurkako zibereraso simulatua da ustia daitezkeen akatsak deskubritzeko. Web-aplikazioen testuinguruan, Pentest bat aplikazio baten segurtasun-akatsak identifikatu, aztertzeko eta jakinarazteko ebaluazio zehatza da. Pentsa ezazu zure sistemaren defentsetarako estres-proba bat dela - hausteak non gerta daitezkeen erakusten du.

Viettel Cyber ​​Security-ko profesional onduek egina, zibersegurtasunaren esparruko txakur nagusi bat, proba hau beren segurtasun zerbitzu multzo zabalaren parte da. Gure ebaluazioan erabilitako Greybox probaren metodologiak kutxa beltzaren eta kutxa zuriaren probaren alderdiak barne hartzen ditu. Probatzaileek gure plataformaren barne funtzionamenduari buruzko informazio batzuk dituzte, sistemarekin aldez aurretik elkarreragina duen hacker baten erasoa imitatuz.

Gure web-azpiegituraren hainbat alderdi sistematikoki ustiatuz, zerbitzariaren konfigurazio okerrak eta guneen arteko script-ak autentifikazio hautsi eta datu sentikorrak esposizioraino, Pentest-ek mehatxu potentzialen irudi errealista eskaintzen du. Osoa da, hainbat eraso-bektore biltzen ditu, eta ingurune kontrolatu batean egiten da, inplikatutako sistemei benetako kalterik ez izateko.

Azken txostenak ahuleziak identifikatzeaz gain, larritasunaren arabera lehenesten ditu eta horiek konpontzeko gomendioak jasotzen ditu. Proba hain integral eta zorrotza gainditzeak erakunde baten zibersegurtasunaren indarra azpimarratzen du eta aro digitalean konfiantzarako oinarrizko elementua da.

Identifikatutako ahuleziak eta konponketak

Proba fasean, hainbat ahultasun aurkitu ziren, Cross-Site Scripting (XSS) eta Broken Access Control (BAC) arazoetaraino. Zehazki, probak hainbat funtzionalitatetan gordetako XSS bezalako ahultasunak aurkitu zituen, Aurkezpena ezabatzeko funtzioan Insecure Direct Object References (IDOR) eta Pribilegioen Eskalada funtzio ezberdinetan.

The AhaSlides talde teknologikoak, Viettel Cyber ​​Security-rekin eskuz esku lanean, identifikatutako arazo guztiak landu ditu. Sarrerako datuen iragazketa, datuen irteerako kodeketa, erantzunen goiburu egokiak erabiltzea eta Edukiaren Segurtasun Politika (CSP) sendoa hartzea, gure defentsak indartzeko, neurriak ezarri dira.

AhaSlides Viettel Security-ren penetrazio-proba behar bezala gainditu du

Presenter eta Audience aplikazioek Viettel Security-k egindako sartze-proba integrala arrakastaz gainditu dute. Ebaluazio zorrotz honek segurtasun praktika sendoekin eta erabiltzaileen datuen babesarekin dugun konpromisoa azpimarratzen du.

2023ko abenduan egindako probak Greybox metodologia erabili zuen, mundu errealeko eraso eszenatoki bat simulatuz. Viettel-en segurtasun-adituek zorrotz ebaluatu zuten gure plataforma ahultasunen berri, hobetzeko arloak identifikatuz.

Identifikatutako ahuleziak zuzendu zituen AhaSlides ingeniaritza taldea Viettel Security-rekin elkarlanean. Inplementatutako neurrien artean, sarrerako datuen iragazketa, irteerako datuen kodeketa, Edukiaren Segurtasun Politika (CSP) sendoa eta erantzunen goiburu egokiak daude plataforma gehiago sendotzeko.

AhaSlides mehatxuak denbora errealean detektatzeko eta erantzuteko monitorizazio tresna aurreratuetan ere inbertitu du. Gainera, gure gertakariei erantzuteko protokoloak hobetu egin dira segurtasun-hauste bat gertatuz gero ekintza azkar eta eraginkorra bermatzeko.

Plataforma segurua eta segurua

Erabiltzaileak ziur egon daitezke haien datuak babestuta daudela eta haien esperientzia interaktiboak seguru mantentzen direla. Etengabeko segurtasun-ebaluazioekin eta etengabeko hobekuntzarekin, gure erabiltzaileentzako plataforma fidagarri eta seguru bat eraikitzeko konpromisoa hartzen dugu.