Örömmel jelentjük be, hogy az AhaSlides bejutott a Viettel Cyber Security által felügyelt mindenre kiterjedő Greybox Pentest-re. Ez a mélyreható biztonsági vizsgálat két kiemelt online platformunkat célozta meg: a Presenter alkalmazást (műsorvezető.ahaslides.com) és a Közönség alkalmazás (audience.ahaslides.com).
A 20. december 27-tól december 2023-ig tartó biztonsági teszt a különböző biztonsági hiányosságok aprólékos vizsgálatát foglalta magában. A Viettel Cyber Security csapata mélyreható elemzést végzett, és megjelölte a rendszerünkön belüli fejlesztésre szoruló területeket.
Főbb pontok:
- Tesztidőszak: 20. december 27-2023
- Hatály: A különböző lehetséges biztonsági hiányosságok mélyreható elemzése
- Eredmény: Az AhaSlides átment a teszten az azonosított sebezhetőségek megszüntetése után
- Hatás: Fokozott biztonság és megbízhatóság felhasználóink számára
Mi az a Viettel Security Pentest?
A Penteszt, a Penetration Test rövidítése, lényegében egy hamis kibertámadás a rendszeren, hogy feltárja a kihasználható hibákat. A webalkalmazásokkal összefüggésben a Pentest egy kimerítő értékelés az alkalmazáson belüli biztonsági hibák pontos meghatározására, elemzésére és jelentésére. Tekintsd úgy, mint egy stressztesztet a rendszered védelmére vonatkozóan – ez megmutatja, hol fordulhatnak elő potenciális jogsértések.
Ezt a tesztet a Viettel Cyber Security tapasztalt szakemberei végezték, amely a kiberbiztonsági tér egyik legjobb kutyája. Ez a teszt a kiterjedt biztonsági szolgáltatási csomag része. Az értékelésünkben használt Greybox tesztelési módszertan a fekete doboz és a fehér doboz tesztelésének szempontjait egyaránt magában foglalja. A tesztelőknek van némi információjuk a platformunk belső működéséről, egy olyan hacker támadását utánozva, aki korábban interakcióba lép a rendszerrel.
Azáltal, hogy szisztematikusan kihasználja webes infrastruktúránk különböző aspektusait, a hibás szerverkonfigurációktól és a több telephelyen átívelő szkripteléstől a meghibásodott hitelesítésig és az érzékeny adatok közzétételéig, a Pentest reális képet nyújt a lehetséges fenyegetésekről. Alapos, különféle támadási vektorokat tartalmaz, és ellenőrzött környezetben zajlik, hogy az érintett rendszerek ne okozzanak valódi károkat.
A zárójelentés nemcsak azonosítja a sérülékenységeket, hanem súlyosságuk szerint is rangsorolja azokat, és javaslatokat tesz a javításukra. Egy ilyen átfogó és szigorú teszten való megfelelés megerősíti a szervezet kiberbiztonságának erejét, és a bizalom alapvető építőköve a digitális korban.
Azonosított gyengeségek és javítások
A tesztelési szakasz során számos sebezhetőséget találtak, a Cross-Site Scriptingtől (XSS) a megszakadt hozzáférés-vezérlési (BAC) problémákig. Konkrétabban, a teszt olyan sebezhetőségeket tárt fel, mint például a tárolt XSS több szolgáltatáson keresztül, a nem biztonságos közvetlen objektum-hivatkozások (IDOR) a prezentációtörlés funkcióban és a jogosultság-kiterjesztés a különféle funkciók között.
Az AhaSlides technológiai csapata a Viettel Cyber Security-vel karöltve minden azonosított problémát megoldott.. Olyan intézkedéseket vezettünk be, mint a bemeneti adatok szűrése, a kimeneti adatok kódolása, a megfelelő válaszfejlécek használata és a robusztus tartalombiztonsági szabályzat (CSP) elfogadása, hogy megerősítsük védelmünket.
Az AhaSlides sikeresen teljesítette a Viettel Security által végzett behatolási tesztet
Mind a Presenter, mind az Audience alkalmazás sikeresen átment a Viettel Security által végzett átfogó behatolási teszten. Ez a szigorú értékelés alátámasztja elkötelezettségünket a szilárd biztonsági gyakorlatok és a felhasználói adatok védelme mellett.
A 2023 decemberében elvégzett teszt Greybox módszertant alkalmazva valós támadási forgatókönyvet szimulált. A Viettel biztonsági szakértői alaposan kiértékelték a platformunk sebezhetőségét, és meghatározták a fejlesztésre szoruló területeket.
Az azonosított sebezhetőségeket az AhaSlides mérnöki csapata a Viettel Security-vel együttműködve orvosolta. A megvalósított intézkedések közé tartozik a bemeneti adatok szűrése, a kimeneti adatok kódolása, a robusztus tartalombiztonsági házirend (CSP), valamint a megfelelő válaszfejlécek a platform további megerősítése érdekében.
Az AhaSlides fejlett megfigyelőeszközökbe is fektetett a valós idejű fenyegetésészlelés és válaszadás érdekében. Ezen túlmenően az incidensekre vonatkozó válaszadási protokolljainkat finomítottuk, hogy biztosítsák a gyors és hatékony fellépést a biztonság megsértése esetén.
Biztonságos és biztonságos platform
A felhasználók biztosak lehetnek abban, hogy adataik védettek, és interaktív élményeik biztonságban maradnak. Folyamatos biztonsági felmérésekkel és folyamatos fejlesztésekkel elkötelezettek vagyunk amellett, hogy megbízható és biztonságos platformot építsünk ki felhasználóinknak.