Siamo entusiasti di annunciarlo AhaSlides ha superato brillantemente il Greybox Pentest onnicomprensivo amministrato da Viettel Cyber Security. Questo esame approfondito della sicurezza ha preso di mira le nostre due principali piattaforme online: l'app Presenter (presenter.ahaslides.com) e l'app Pubblico (audience.ahaslides.com).
Il test di sicurezza, che si è svolto dal 20 al 27 dicembre 2023, ha comportato un'indagine meticolosa per vari punti deboli della sicurezza. Il team di Viettel Cyber Security ha eseguito un'analisi approfondita e ha segnalato diverse aree di miglioramento all'interno del nostro sistema.
Punti chiave:
- Periodo di prova: 20-27 dicembre 2023
- Ambito: analisi approfondita di vari potenziali punti deboli della sicurezza
- Risultato: AhaSlides superato il test dopo aver affrontato le vulnerabilità identificate
- Impatto: maggiore sicurezza e affidabilità per i nostri utenti
Cos'è il Pentest di Viettel Security?
Un Pentest, abbreviazione di Penetration Test, è essenzialmente un finto attacco informatico sul tuo sistema per scoprire bug sfruttabili. Nel contesto delle applicazioni web, un Pentest è una valutazione esaustiva per individuare, analizzare e segnalare i difetti di sicurezza all'interno di un'applicazione. Consideralo come uno stress test per le difese del tuo sistema: mostra dove potrebbero verificarsi potenziali violazioni.
Condotto dai professionisti esperti di Viettel Cyber Security, uno dei massimi esponenti nel campo della sicurezza informatica, questo test fa parte della loro vasta suite di servizi di sicurezza. La metodologia di test Greybox utilizzata nella nostra valutazione incorpora aspetti sia dei test della scatola nera che di quelli della scatola bianca. I tester hanno alcune informazioni sul funzionamento interno della nostra piattaforma, imitando un attacco da parte di un hacker che ha avuto qualche interazione precedente con il sistema.
Sfruttando sistematicamente vari aspetti della nostra infrastruttura web, dalle errate configurazioni dei server e dallo scripting cross-site all'autenticazione interrotta e all'esposizione di dati sensibili, il Pentest offre un quadro realistico delle potenziali minacce. È approfondito, comprende vari vettori di attacco e viene condotto in un ambiente controllato per garantire che non venga causato alcun danno reale ai sistemi coinvolti.
Il rapporto finale non solo identifica le vulnerabilità, ma dà loro anche la priorità in base alla gravità e include raccomandazioni per risolverle. Il superamento di un test così completo e rigoroso sottolinea la forza della sicurezza informatica di un'organizzazione e costituisce un elemento fondamentale per la fiducia nell'era digitale.
Debolezze identificate e correzioni
Durante la fase di test sono state rilevate diverse vulnerabilità, che vanno dal Cross-Site Scripting (XSS) ai problemi di Broken Access Control (BAC). Per essere precisi, il test ha scoperto vulnerabilità come Stored XSS su più funzionalità, Insecure Direct Object References (IDOR) nella funzione di eliminazione della presentazione e Privilege Escalation su varie funzionalità.
Il AhaSlides il team tecnico, lavorando a stretto contatto con Viettel Cyber Security, ha affrontato tutti i problemi identificati. Per rafforzare le nostre difese sono state implementate misure come il filtraggio dei dati di input, la codifica dei dati di output, l'uso di intestazioni di risposta appropriate e l'adozione di una solida politica di sicurezza dei contenuti (CSP).
AhaSlides Superato con successo il test di penetrazione di Viettel Security
Sia l'applicazione Presenter che quella Audience hanno superato con successo un test di penetrazione completo condotto da Viettel Security. Questa valutazione rigorosa sottolinea il nostro impegno verso solide pratiche di sicurezza e protezione dei dati degli utenti.
Il test, condotto nel dicembre 2023, ha utilizzato una metodologia Greybox, simulando uno scenario di attacco nel mondo reale. Gli esperti di sicurezza di Viettel hanno valutato meticolosamente la nostra piattaforma per individuare eventuali vulnerabilità, identificando le aree di miglioramento.
Le vulnerabilità identificate sono state affrontate dall' AhaSlides team di ingegneria in collaborazione con Viettel Security. Le misure implementate includono il filtraggio dei dati di input, la codifica dei dati di output, una solida Content Security Policy (CSP) e intestazioni di risposta appropriate per rafforzare ulteriormente la piattaforma.
AhaSlides ha inoltre investito in strumenti di monitoraggio avanzati per il rilevamento e la risposta alle minacce in tempo reale. Inoltre, i nostri protocolli di risposta agli incidenti sono stati perfezionati per garantire un'azione rapida ed efficace in caso di violazione della sicurezza.
Una piattaforma sicura e protetta
Gli utenti possono essere sicuri che i loro dati siano protetti e che le loro esperienze interattive rimangano sicure. Con continue valutazioni della sicurezza e miglioramenti continui, ci impegniamo a creare una piattaforma affidabile e sicura per i nostri utenti.