AhaSlides Sikerült a Viettel Cyber ​​Security behatolási tesztjén

Közlemények

AhaSlides Csapat 30 augusztus 2024 4 min olvasni

ahaslides átment a penetrációs teszten

Nagy örömmel jelentjük be AhaSlides bejutott a Viettel Cyber ​​Security által felügyelt mindenre kiterjedő Greybox Pentestre. Ez a mélyreható biztonsági vizsgálat két kiemelt online platformunkat célozta meg: a Presenter alkalmazást (műsorvezető.ahaslides.com) és a Közönség alkalmazás (audience.ahaslides.com).

A 20. december 27-tól december 2023-ig tartó biztonsági teszt a különböző biztonsági hiányosságok aprólékos vizsgálatát foglalta magában. A Viettel Cyber ​​Security csapata mélyreható elemzést végzett, és megjelölte a rendszerünkön belüli fejlesztésre szoruló területeket.

Főbb pontok:

  • Tesztidőszak: 20. december 27-2023
  • Hatály: A különböző lehetséges biztonsági hiányosságok mélyreható elemzése
  • Eredmény: AhaSlides átment a teszten az azonosított sebezhetőségek megszüntetése után
  • Hatás: Fokozott biztonság és megbízhatóság felhasználóink ​​számára

Mi az a Viettel Security Pentest?

A Penteszt, a Penetration Test rövidítése, lényegében egy hamis kibertámadás a rendszeren, hogy feltárja a kihasználható hibákat. A webalkalmazásokkal összefüggésben a Pentest egy kimerítő értékelés az alkalmazáson belüli biztonsági hibák pontos meghatározására, elemzésére és jelentésére. Tekintsd úgy, mint egy stressztesztet a rendszered védelmére vonatkozóan – ez megmutatja, hol fordulhatnak elő potenciális jogsértések.

Ezt a tesztet a Viettel Cyber ​​Security tapasztalt szakemberei végezték, amely a kiberbiztonsági tér egyik legjobb kutyája. Ez a teszt a kiterjedt biztonsági szolgáltatási csomag része. Az értékelésünkben használt Greybox tesztelési módszertan a fekete doboz és a fehér doboz tesztelésének szempontjait egyaránt magában foglalja. A tesztelőknek van némi információjuk a platformunk belső működéséről, egy olyan hacker támadását utánozva, aki korábban interakcióba lép a rendszerrel.

Azáltal, hogy szisztematikusan kihasználja webes infrastruktúránk különböző aspektusait, a hibás szerverkonfigurációktól és a több telephelyen átívelő szkripteléstől a meghibásodott hitelesítésig és az érzékeny adatok közzétételéig, a Pentest reális képet nyújt a lehetséges fenyegetésekről. Alapos, különféle támadási vektorokat tartalmaz, és ellenőrzött környezetben zajlik, hogy az érintett rendszerek ne okozzanak valódi károkat.

A zárójelentés nemcsak azonosítja a sérülékenységeket, hanem súlyosságuk szerint is rangsorolja azokat, és javaslatokat tesz a javításukra. Egy ilyen átfogó és szigorú teszten való megfelelés megerősíti a szervezet kiberbiztonságának erejét, és a bizalom alapvető építőköve a digitális korban.

Azonosított gyengeségek és javítások

A tesztelési szakasz során számos sebezhetőséget találtak, a Cross-Site Scriptingtől (XSS) a megszakadt hozzáférés-vezérlési (BAC) problémákig. Konkrétabban, a teszt olyan sebezhetőségeket tárt fel, mint például a tárolt XSS több szolgáltatáson keresztül, a nem biztonságos közvetlen objektum-hivatkozások (IDOR) a prezentációtörlés funkcióban és a jogosultság-kiterjesztés a különféle funkciók között.

A AhaSlides a Viettel Cyber ​​Security-vel kéz a kézben dolgozó technológiai csapat minden azonosított problémát megoldott. Olyan intézkedéseket vezettünk be, mint a bemeneti adatok szűrése, a kimeneti adatok kódolása, a megfelelő válaszfejlécek használata és a robusztus tartalombiztonsági szabályzat (CSP) elfogadása, hogy megerősítsük védelmünket.

AhaSlides Sikeresen átment a Viettel Security által végzett behatolási teszten

Mind a Presenter, mind az Audience alkalmazás sikeresen átment a Viettel Security által végzett átfogó behatolási teszten. Ez a szigorú értékelés alátámasztja elkötelezettségünket a szilárd biztonsági gyakorlatok és a felhasználói adatok védelme mellett.

A 2023 decemberében elvégzett teszt Greybox módszertant alkalmazva valós támadási forgatókönyvet szimulált. A Viettel biztonsági szakértői alaposan kiértékelték a platformunk sebezhetőségét, és meghatározták a fejlesztésre szoruló területeket.

Az azonosított sebezhetőségeket a AhaSlides mérnöki csapat a Viettel Security-vel együttműködve. A megvalósított intézkedések közé tartozik a bemeneti adatok szűrése, a kimeneti adatok kódolása, a robusztus tartalombiztonsági házirend (CSP), valamint a megfelelő válaszfejlécek a platform további megerősítése érdekében.

AhaSlides fejlett figyelőeszközökbe is fektetett a valós idejű fenyegetésészlelés és reagálás érdekében. Ezenkívül az incidensreagálási protokolljainkat finomítottuk, hogy gyors és hatékony fellépést biztosítsanak a biztonság megsértése esetén.

Biztonságos és biztonságos platform

A felhasználók biztosak lehetnek abban, hogy adataik védettek, és interaktív élményeik biztonságban maradnak. Folyamatos biztonsági felmérésekkel és folyamatos fejlesztésekkel elkötelezettek vagyunk amellett, hogy megbízható és biztonságos platformot építsünk ki felhasználóinknak.