S oduševljenjem to možemo objaviti AhaSlides pobijedio je na sveobuhvatnom Greybox Pentestu kojim upravlja Viettel Cyber Security. Ovo dubinsko sigurnosno ispitivanje usmjereno je na naše dvije vodeće online platforme: aplikaciju Presenter (voditelj.ahaslides.com) i aplikacija Publika (publika.ahaslides.com).
Sigurnosni test, koji je trajao od 20. prosinca do 27. prosinca 2023., uključivao je pedantno ispitivanje različitih sigurnosnih slabosti. Tim iz tvrtke Viettel Cyber Security izvršio je detaljnu analizu i označio nekoliko područja za poboljšanje unutar našeg sustava.
Ključne točke:
- Testno razdoblje: 20.-27. prosinca 2023
- Opseg: Dubinska analiza različitih potencijalnih sigurnosnih slabosti
- Rezultat: AhaSlides prošao test nakon rješavanja identificiranih ranjivosti
- Učinak: Poboljšana sigurnost i pouzdanost za naše korisnike
Što je Viettel Security Pentest?
Pentest, skraćeno od Penetration Test, u biti je lažni kibernetički napad na vaš sustav kako bi se otkrile greške koje se mogu iskoristiti. U kontekstu web aplikacija, Pentest je iscrpna procjena za utvrđivanje, analizu i izvješćivanje o sigurnosnim nedostacima unutar aplikacije. Razmišljajte o tome kao o testu otpornosti na stres za obranu vašeg sustava - pokazuje gdje bi moglo doći do potencijalnih proboja.
Ovaj test koji provode iskusni profesionalci tvrtke Viettel Cyber Security, najboljeg stručnjaka u području kibernetičke sigurnosti, dio je njihovog opsežnog paketa sigurnosnih usluga. Metodologija testiranja Greybox korištena u našoj procjeni uključuje aspekte testiranja i crne i bijele kutije. Testeri imaju neke informacije o internom radu naše platforme, oponašajući napad hakera koji je prethodno bio u interakciji sa sustavom.
Sustavnim iskorištavanjem različitih aspekata naše web infrastrukture, od pogrešnih konfiguracija poslužitelja i skriptiranja između stranica do neispravne provjere autentičnosti i izloženosti osjetljivim podacima, Pentest nudi realnu sliku potencijalnih prijetnji. Temeljit je, obuhvaća različite vektore napada i provodi se u kontroliranom okruženju kako bi se osiguralo da ne dođe do stvarne štete uključenim sustavima.
Završno izvješće ne samo da identificira ranjivosti, već im daje i prioritet prema ozbiljnosti i uključuje preporuke za njihovo popravljanje. Polaganje tako sveobuhvatnog i rigoroznog testa naglašava snagu kibernetičke sigurnosti organizacije i temeljni je kamen za izgradnju povjerenja u digitalnom dobu.
Identificirane slabosti i popravci
Tijekom faze testiranja pronađeno je nekoliko ranjivosti, u rasponu od Cross-Site Scripting (XSS) do problema s Broken Access Control (BAC). Konkretno, test je otkrio ranjivosti kao što su pohranjeni XSS u višestrukim značajkama, nesigurne izravne reference objekata (IDOR) u funkciji brisanja prezentacije i eskalacija privilegija u različitim funkcijama.
Korištenje električnih romobila ističe AhaSlides tehnički tim, radeći ruku pod ruku s Viettel Cyber Security, riješio je sve identificirane probleme. Mjere poput filtriranja ulaznih podataka, kodiranja izlaznih podataka, upotrebe odgovarajućih zaglavlja odgovora i usvajanja robusne Politike sigurnosti sadržaja (CSP) implementirane su kako bi se ojačala naša obrana.
AhaSlides Uspješno prošao test prodora od strane Viettel Security
I Presenter i Audience aplikacije uspješno su prošle sveobuhvatan test prodora koji je proveo Viettel Security. Ova rigorozna procjena naglašava našu predanost robusnim sigurnosnim praksama i zaštiti korisničkih podataka.
Test, proveden u prosincu 2023., koristio je metodologiju Greyboxa, simulirajući scenarij napada u stvarnom svijetu. Sigurnosni stručnjaci tvrtke Viettel pomno su procijenili ranjivosti naše platforme, identificirajući područja za poboljšanje.
Identificirane ranjivosti riješio je AhaSlides inženjerski tim u suradnji s Viettel Security. Primijenjene mjere uključuju filtriranje ulaznih podataka, kodiranje izlaznih podataka, robusnu politiku sigurnosti sadržaja (CSP) i odgovarajuća zaglavlja odgovora za daljnje jačanje platforme.
AhaSlides je također uložio u napredne alate za praćenje za otkrivanje prijetnji i odgovor na njih u stvarnom vremenu. Osim toga, naši protokoli za odgovor na incidente poboljšani su kako bi se osiguralo brzo i učinkovito djelovanje u slučaju kršenja sigurnosti.
Sigurna i osigurana platforma
Korisnici mogu biti sigurni da su njihovi podaci zaštićeni i da njihova interaktivna iskustva ostaju sigurna. Uz stalne sigurnosne procjene i kontinuirana poboljšanja, predani smo izgradnji pouzdane i sigurne platforme za naše korisnike.