אנו נרגשים להכריז ש-AhaSlides זכתה ב-Greybox Pentest המקיף המנוהל על ידי Viettel Cyber Security. בדיקת אבטחה מעמיקה זו מכוונת לשתי פלטפורמות הדגל המקוונות שלנו: אפליקציית Presenter (presenter.ahaslides.com) ואפליקציית הקהל (audience.ahaslides.com).
מבחן האבטחה, שנערך בין ה-20 ל-27 בדצמבר 2023, כלל בדיקה מדוקדקת של חולשות אבטחה שונות. הצוות של Viettel Cyber Security ביצע ניתוח צלילה עמוק וסימן מספר תחומים לשיפור במערכת שלנו.
נקודות מרכזיות:
- תקופת המבחן: 20-27 בדצמבר, 2023
- היקף: ניתוח מעמיק של חולשות אבטחה פוטנציאליות שונות
- תוצאה: AhaSlides עברה את הבדיקה לאחר שטיפלה בפרצות שזוהו
- השפעה: אבטחה ואמינות משופרים עבור המשתמשים שלנו
מהו Pentest של Viettel Security?
Pentest, קיצור של Penetration Test, הוא בעצם מתקפת סייבר מדומה על המערכת שלך כדי לחשוף באגים שניתנים לניצול. בהקשר של יישומי אינטרנט, Pentest הוא הערכה ממצה כדי לאתר, לנתח ולדווח על פגמי האבטחה בתוך אפליקציה. תחשוב על זה כמבחן מאמץ להגנת המערכת שלך - זה מראה היכן הפרות פוטנציאליות עלולות להתרחש.
מבחן זה, שנערך על ידי אנשי המקצוע הוותיקים ב-Viettel Cyber Security, כלב מוביל בתחום אבטחת הסייבר, הוא חלק מחבילת שירותי האבטחה הנרחבת שלהם. מתודולוגיית הבדיקה של Greybox המשמשת בהערכה שלנו משלבת היבטים של בדיקת קופסה שחורה וגם של בדיקת קופסה לבנה. לבודקים יש קצת מידע על הפעולה הפנימית של הפלטפורמה שלנו, המחקה התקפה של האקר שיש לו אינטראקציה קודמת עם המערכת.
על ידי ניצול שיטתי של היבטים שונים של תשתית האינטרנט שלנו, החל מתצורות שגויות של שרתים וסקריפטים בין-אתרים ועד לאימות שבור וחשיפת נתונים רגישים, ה-Pentest מציע תמונה מציאותית של איומים פוטנציאליים. זה יסודי, מקיף וקטורי תקיפה שונים, ומתנהל בסביבה מבוקרת כדי להבטיח שאין פגיעה אמיתית במערכות המעורבות.
הדו"ח הסופי לא רק מזהה את הפגיעות אלא גם מסדר אותן לפי חומרה וכולל המלצות לתיקון שלהן. עמידה במבחן מקיף וקפדני שכזה מדגיש את החוזק של אבטחת הסייבר של ארגון ומהווה אבן יסוד לאמון בעידן הדיגיטלי.
נקודות חולשה ותיקונים מזוהים
במהלך שלב הבדיקה, נמצאו מספר נקודות תורפה, החל מ-Cross-Site Scripting (XSS) ועד בעיות בקרת גישה שבורה (BAC). ליתר דיוק, הבדיקה חשפה נקודות תורפה כמו Stored XSS על פני תכונות מרובות, Insecure Direct Object References (IDOR) בפונקציית מחיקת המצגת, והסלמה של הרשאות על פני פונקציות שונות.
הצוות הטכנולוגי של AhaSlides, שעובד יד ביד עם Viettel Cyber Security, טיפל בכל הבעיות שזוהו. אמצעים כמו סינון נתוני קלט, קידוד פלט נתונים, שימוש בכותרות תגובה מתאימות ואימוץ מדיניות אבטחת תוכן חזקה (CSP) יושמו כדי לחזק את ההגנות שלנו.
AhaSlides עבר בהצלחה את מבחן החדירה של Viettel Security
גם יישומי Presenter וגם Audience עברו בהצלחה מבחן חדירה מקיף שנערך על ידי Viettel Security. הערכה קפדנית זו מדגישה את המחויבות שלנו לנוהלי אבטחה חזקים והגנה על נתוני משתמשים.
הבדיקה, שנעשתה בדצמבר 2023, השתמשה במתודולוגיה של Greybox, המדמה תרחיש תקיפה בעולם האמיתי. מומחי האבטחה של Viettel העריכו בקפדנות את הפלטפורמה שלנו לאיתור נקודות תורפה, תוך זיהוי אזורים לשיפור.
הפגיעויות שזוהו טופלו על ידי צוות ההנדסה של AhaSlides בשיתוף פעולה עם Viettel Security. האמצעים המיושמים כוללים סינון נתוני קלט, קידוד נתוני פלט, מדיניות אבטחת תוכן חזקה (CSP) וכותרות תגובה מתאימות לחיזוק הפלטפורמה.
AhaSlides השקיעה גם בכלי ניטור מתקדמים לזיהוי ותגובה של איומים בזמן אמת. בנוסף, פרוטוקולי התגובה לאירועים שלנו שוכללו כדי להבטיח פעולה מהירה ויעילה במקרה של פרצת אבטחה.
פלטפורמה בטוחה ומאובטחת
משתמשים יכולים להיות בטוחים שהנתונים שלהם מוגנים והחוויות האינטראקטיביות שלהם נשארות מאובטחות. עם הערכות אבטחה מתמשכות ושיפור מתמיד, אנו מחויבים לבנות פלטפורמה אמינה ומאובטחת עבור המשתמשים שלנו.
