Մենք ուրախ ենք տեղեկացնել, որ AhaSlides-ը միացել է Viettel Cyber Security-ի կողմից կառավարվող Greybox Pentest-ին: Անվտանգության այս խորը քննությունը ուղղված էր մեր երկու առաջատար առցանց հարթակներին՝ Presenter հավելվածին (presenter.ahaslides.com) և «Հանդիսատես» հավելվածը (audience.ahaslides.com).
Անվտանգության թեստը, որն անցկացվել է 20 թվականի դեկտեմբերի 27-ից մինչև դեկտեմբերի 2023-ը, ներառում էր անվտանգության տարբեր թուլությունների մանրակրկիտ ուսումնասիրություն: Viettel Cyber Security-ի թիմը կատարել է խորը սուզման վերլուծություն և նշել է մեր համակարգի բարելավման մի քանի ոլորտներ:
Հիմնական միավորներ.
- Փորձարկման շրջան՝ 20 թվականի դեկտեմբերի 27-2023
- Շրջանակ. Անվտանգության տարբեր հնարավոր թույլ կողմերի խորը վերլուծություն
- Արդյունք. AhaSlides-ը հանձնեց թեստը՝ հայտնաբերված խոցելի թերությունները լուծելուց հետո
- Ազդեցություն. ուժեղացված անվտանգություն և հուսալիություն մեր օգտատերերի համար
Ի՞նչ է Viettel Security-ի Pentest-ը:
Pentest-ը, որը կրճատված է Penetration Test-ից, ըստ էության կեղծ կիբերհարձակում է ձեր համակարգի վրա՝ բացահայտելու շահագործվող սխալները: Վեբ հավելվածների համատեքստում Pentest-ը սպառիչ գնահատում է հավելվածում անվտանգության թերությունները մատնանշելու, վերլուծելու և զեկուցելու համար: Մտածեք դա որպես սթրեսի թեստ ձեր համակարգի պաշտպանության համար. այն ցույց է տալիս, թե որտեղ կարող են տեղի ունենալ հնարավոր խախտումներ:
Կիբեռանվտանգության ոլորտում լավագույն շուն Viettel Cyber Security-ի փորձառու մասնագետների կողմից անցկացված այս թեստը նրանց անվտանգության ծառայությունների լայնածավալ փաթեթի մի մասն է: Մեր գնահատման ժամանակ օգտագործվող Greybox թեստավորման մեթոդաբանությունը ներառում է ինչպես սև տուփի, այնպես էլ սպիտակ տուփի փորձարկման ասպեկտները: Փորձարկողները որոշակի ինտելեկտ ունեն մեր պլատֆորմի ներքին աշխատանքի վերաբերյալ՝ ընդօրինակելով հաքերի հարձակումը, ով նախնական փոխազդեցություն ունի համակարգի հետ:
Սիստեմատիկորեն օգտագործելով մեր վեբ ենթակառուցվածքի տարբեր կողմերը՝ սերվերի սխալ կազմաձևումներից և միջկայքի սկրիպտավորումից մինչև կոտրված վավերացում և զգայուն տվյալների բացահայտում, Pentest-ն առաջարկում է պոտենցիալ սպառնալիքների իրատեսական պատկեր: Այն մանրակրկիտ է, ներառում է հարձակման տարբեր վեկտորներ և իրականացվում է վերահսկվող միջավայրում՝ ներգրավված համակարգերին իրական վնաս չհասցնելու համար:
Վերջնական զեկույցը ոչ միայն բացահայտում է խոցելիությունը, այլև դրանց առաջնահերթությունը դասակարգում է ըստ ծանրության և ներառում է դրանք շտկելու առաջարկություններ: Նման համապարփակ և խիստ թեստ անցնելն ընդգծում է կազմակերպության կիբերանվտանգության ուժը և հանդիսանում է թվային դարաշրջանում վստահության հիմնարար կառույց:
Բացահայտված թույլ կողմեր և ուղղումներ
Փորձարկման փուլում հայտնաբերվել են մի քանի խոցելիություններ՝ սկսած Cross-Site Scripting-ից (XSS) մինչև Broken Access Control (BAC) խնդիրներ: Որպեսզի կոնկրետ լինենք, թեստը բացահայտեց խոցելիություններ, ինչպիսիք են Stored XSS-ը բազմաթիվ գործառույթների մեջ, Insecure Direct Object References (IDOR)՝ Presentation-ի ջնջման գործառույթում և Privilege Escalation-ը տարբեր գործառույթների մեջ:
AhaSlides տեխնոլոգիական թիմը, որն աշխատում է Viettel Cyber Security-ի հետ ձեռք ձեռքի տված, լուծել է հայտնաբերված բոլոր խնդիրները. Միջոցառումներ, ինչպիսիք են մուտքային տվյալների զտումը, տվյալների ելքային կոդավորումը, պատասխանների համապատասխան վերնագրերի օգտագործումը և բովանդակության անվտանգության ամուր քաղաքականության (CSP) ընդունումը, իրականացվել են մեր պաշտպանությունն ուժեղացնելու համար:
AhaSlides-ը հաջողությամբ անցել է Viettel Security-ի ներթափանցման թեստը
Ե՛վ Presenter, և՛ Audience հավելվածները հաջողությամբ անցել են Viettel Security-ի կողմից անցկացված համապարփակ ներթափանցման թեստը: Այս խիստ գնահատումն ընդգծում է մեր հանձնառությունը՝ ուղղված անվտանգության կայուն գործելակերպին և օգտատերերի տվյալների պաշտպանությանը:
Թեստը, որն անցկացվել է 2023 թվականի դեկտեմբերին, կիրառել է Greybox մեթոդաբանությունը՝ նմանակելով իրական աշխարհի հարձակման սցենարը: Viettel-ի անվտանգության փորձագետները մանրակրկիտ գնահատել են մեր հարթակը խոցելիության համար՝ բացահայտելով բարելավման ենթակա ոլորտները:
Հայտնաբերված խոցելիությունները վերացվել են AhaSlides-ի ինժեներական թիմի կողմից՝ Viettel Security-ի հետ համագործակցությամբ: Իրականացված միջոցառումները ներառում են մուտքային տվյալների զտում, ելքային տվյալների կոդավորում, բովանդակության անվտանգության կայուն քաղաքականություն (CSP) և համապատասխան պատասխանի վերնագրեր՝ հարթակն էլ ավելի ամրապնդելու համար:
AhaSlides-ը նաև ներդրումներ է կատարել մոնիտորինգի առաջադեմ գործիքներում՝ իրական ժամանակում սպառնալիքների հայտնաբերման և արձագանքման համար: Բացի այդ, մեր միջադեպերի արձագանքման արձանագրությունները կատարելագործվել են՝ անվտանգության խախտման դեպքում արագ և արդյունավետ գործողություն ապահովելու համար:
Ապահով և ապահով հարթակ
Օգտագործողները կարող են վստահ լինել, որ իրենց տվյալները պաշտպանված են, և նրանց ինտերակտիվ փորձառությունները մնում են ապահով: Անվտանգության շարունակական գնահատումներով և շարունակական բարելավմամբ՝ մենք հավատարիմ ենք մեր օգտատերերի համար հուսալի և անվտանգ հարթակ կառուցելուն:
