Olemme iloisia voidessamme ilmoittaa siitä AhaSlides on voittanut Viettel Cyber Securityn hallinnoiman kaiken kattavan Greybox Pentestin. Tämä perusteellinen tietoturvatutkimus kohdistui kahteen lippulaivamme verkkoalustaan: Presenter-sovellukseen (esittäjä.ahaslides.com) ja Yleisö-sovellus (audience.ahaslides.com).
Turvatesti, joka suoritettiin 20.-27, sisälsi huolellisen erilaisten tietoturvan heikkouksien tutkimisen. Viettel Cyber Securityn tiimi suoritti syvällisen analyysin ja merkitsi useita parannuskohteita järjestelmässämme.
Avainkohdat:
- Testijakso: 20.–27
- Laajuus: Erilaisten mahdollisten tietoturvaheikkouksien syvällinen analyysi
- Tulos: AhaSlides läpäisi testin havaittujen haavoittuvuuksien korjaamisen jälkeen
- Vaikutus: Parannettu tietoturva ja luotettavuus käyttäjillemme
Mikä on Viettel Securityn Pentest?
Pentest, lyhenne sanoista Penetration Test, on pohjimmiltaan valehyökkäys järjestelmääsi vastaan hyödynnettävien vikojen paljastamiseksi. Verkkosovellusten yhteydessä Pentest on kattava arviointi sovelluksen tietoturvapuutteiden tunnistamiseksi, analysoimiseksi ja niistä raportoimiseksi. Ajattele sitä stressitestinä järjestelmäsi puolustukselle – se näyttää, missä mahdollisia rikkomuksia voi tapahtua.
Viettel Cyber Securityn, kyberturvallisuuden huippukoiran, kokeneiden ammattilaisten suorittama testi on osa heidän laajaa turvapalvelupakettia. Arvioinnissamme käytetty Greybox-testausmenetelmä sisältää sekä mustan laatikon että valkoisen laatikon testauksen näkökohtia. Testaajilla on jonkin verran tietoa alustamme sisäisestä toiminnasta, mikä jäljittelee hakkerin hyökkäystä, jolla on aiempaa vuorovaikutusta järjestelmän kanssa.
Hyödyntämällä järjestelmällisesti verkkoinfrastruktuurimme eri puolia palvelinvirheistä ja sivustojen välisistä komentosarjoista rikkinäiseen todentamiseen ja arkaluontoisten tietojen paljastamiseen, Pentest tarjoaa realistisen kuvan mahdollisista uhista. Se on perusteellinen, sisältää erilaisia hyökkäysvektoreita, ja se suoritetaan valvotussa ympäristössä, jotta varmistetaan, ettei kyseessä oleville järjestelmille aiheudu todellista haittaa.
Loppuraportissa haavoittuvuuksia ei vain tunnisteta, vaan ne myös priorisoidaan vakavuuden mukaan ja annetaan suosituksia niiden korjaamiseksi. Tällaisen kattavan ja tiukan testin läpäiseminen korostaa organisaation kyberturvallisuuden vahvuutta ja on digitaaliajan luottamuksen perusrakennus.
Tunnistetut heikkoudet ja korjaukset
Testausvaiheessa löydettiin useita haavoittuvuuksia, jotka vaihtelivat Cross-Site Scriptingistä (XSS) Broken Access Control (BAC) -ongelmiin. Tarkemmin sanottuna testi paljasti haavoittuvuuksia, kuten Stored XSS useissa ominaisuuksissa, Insecure Direct Object References (IDOR) esityksen poistotoiminnossa ja Privilege Escalation useissa eri toiminnoissa.
- AhaSlides Tekniikkatiimi, joka työskentelee käsi kädessä Viettel Cyber Securityn kanssa, on ratkaissut kaikki tunnistetut ongelmat. Toimenpiteitä, kuten syötetietojen suodatus, tietojen tulosteen koodaus, asianmukaisten vastausotsikoiden käyttö ja vankan sisällön suojauskäytännön (CSP) käyttöönotto, on otettu käyttöön puolustuksemme vahvistamiseksi.
AhaSlides Läpäisi Viettel Securityn tunkeutumistestin
Sekä Presenter- että Audience-sovellukset ovat läpäisseet Viettel Securityn suorittaman kattavan läpäisytestin. Tämä tiukka arviointi korostaa sitoutumistamme vankoihin tietoturvakäytäntöihin ja käyttäjien tietosuojaan.
Joulukuussa 2023 suoritetussa testissä käytettiin Greybox-metodologiaa, joka simuloi todellista hyökkäysskenaariota. Viettelin tietoturva-asiantuntijat arvioivat alustamme huolellisesti haavoittuvuuksien varalta ja yksilöivät parannuskohteita.
Tunnistetut haavoittuvuudet on korjattu AhaSlides suunnittelutiimi yhteistyössä Viettel Securityn kanssa. Toteutettuja toimenpiteitä ovat syöttötietojen suodatus, lähtötietojen koodaus, vankka sisällön suojauskäytäntö (CSP) ja asianmukaiset vastausotsikot alustan vahvistamiseksi.
AhaSlides on myös investoinut edistyneisiin valvontatyökaluihin reaaliaikaiseen uhkien havaitsemiseen ja reagoimiseen. Lisäksi häiriötilanteisiin reagointiprotokollamme on jalostettu, jotta varmistetaan nopeat ja tehokkaat toimet tietoturvaloukkauksen sattuessa.
Turvallinen ja suojattu alusta
Käyttäjät voivat luottaa siihen, että heidän tietonsa on suojattu ja heidän interaktiiviset kokemuksensa pysyvät turvassa. Jatkuvan turvallisuusarvioinnin ja jatkuvan parantamisen ansiosta olemme sitoutuneet rakentamaan käyttäjillemme luotettavan ja turvallisen alustan.