AhaSlides გაიარა Viettel Cyber ​​Security-ის შეღწევადობის ტესტი

განცხადებები

AhaSlides გუნდი აგვისტო, 9 აგვისტო 4 წამიკითხავს

ahaslides-მა ჩააბარა შეღწევადობის ტესტი

ჩვენ მოხარულები ვართ ამის გამოცხადებით AhaSlides მიიღო ყოვლისმომცველი Greybox Pentest-ის ადმინისტრირება Viettel Cyber ​​Security-ის მიერ. უსაფრთხოების ეს სიღრმისეული გამოკვლევა მიზნად ისახავდა ჩვენს ორ ფლაგმანურ ონლაინ პლატფორმას: Presenter app (presenter.ahaslides.com) და აუდიტორიის აპი (Audio.ahaslides.com).

უსაფრთხოების ტესტი, რომელიც გაგრძელდა 20 წლის 27 დეკემბრიდან 2023 დეკემბრის ჩათვლით, მოიცავდა უსაფრთხოების სხვადასხვა სისუსტეების საფუძვლიან გამოკვლევას. Viettel Cyber ​​Security-ის გუნდმა ჩაატარა ღრმა ჩაყვინთვის ანალიზი და დაასახელა რამდენიმე სფერო ჩვენი სისტემის გასაუმჯობესებლად.

ძირითადი პუნქტები:

  • ტესტის პერიოდი: 20 წლის 27-2023 დეკემბერი
  • სფერო: უსაფრთხოების სხვადასხვა პოტენციური სისუსტეების სიღრმისეული ანალიზი
  • შედეგი: AhaSlides გაიარა ტესტი გამოვლენილი დაუცველობის აღმოფხვრის შემდეგ
  • გავლენა: გაძლიერებული უსაფრთხოება და საიმედოობა ჩვენი მომხმარებლებისთვის

რა არის Viettel Security's Pentest?

Pentest, მოკლედ შეღწევადობის ტესტისთვის, არსებითად არის იმიტირებული კიბერშეტევა თქვენს სისტემაზე ექსპლუატაციური შეცდომების გამოსავლენად. ვებ აპლიკაციების კონტექსტში, Pentest არის ამომწურავი შეფასება აპლიკაციის უსაფრთხოების ხარვეზების დასაზუსტებლად, გასაანალიზებლად და მოხსენებაში. იფიქრეთ ეს, როგორც სტრესის ტესტი თქვენი სისტემის დაცვით - ის აჩვენებს, თუ სად შეიძლება მოხდეს პოტენციური დარღვევები.

ჩატარდა Viettel Cyber ​​Security-ის გამოცდილი პროფესიონალების მიერ, საუკეთესო ძაღლი კიბერუსაფრთხოების სივრცეში, ეს ტესტი არის მათი ვრცელი უსაფრთხოების სერვისების კომპლექტის ნაწილი. გრეიბოქსის ტესტირების მეთოდოლოგია, რომელიც გამოიყენება ჩვენს შეფასებაში, მოიცავს როგორც შავი ყუთის, ასევე თეთრი ყუთის ტესტირების ასპექტებს. ტესტერებს აქვთ გარკვეული ინტელექტი ჩვენი პლატფორმის შიდა ფუნქციონირებაზე, ჰაკერის თავდასხმის მიბაძვით, რომელსაც აქვს გარკვეული წინასწარი ურთიერთქმედება სისტემასთან.

ჩვენი ვებ ინფრასტრუქტურის სხვადასხვა ასპექტების სისტემატური გამოყენებით, სერვერის არასწორი კონფიგურაციიდან და საიტის სკრიპტირებიდან გატეხილი ავთენტიფიკაციისა და მგრძნობიარე მონაცემების გამოვლენამდე, Pentest გთავაზობთ პოტენციური საფრთხეების რეალისტურ სურათს. ის საფუძვლიანია, მოიცავს თავდასხმის სხვადასხვა ვექტორს და ტარდება კონტროლირებად გარემოში, რათა არ მოხდეს ჩართული სისტემებისთვის რეალური ზიანი.

საბოლოო ანგარიში არა მხოლოდ ავლენს მოწყვლადობას, არამედ პრიორიტეტს ანიჭებს მათ სიმძიმის მიხედვით და შეიცავს რეკომენდაციებს მათ აღმოსაფხვრელად. ასეთი ყოვლისმომცველი და მკაცრი ტესტის ჩაბარება ხაზს უსვამს ორგანიზაციის კიბერუსაფრთხოების სიძლიერეს და წარმოადგენს ციფრულ ეპოქაში ნდობის ფუნდამენტურ სამშენებლო ბლოკს.

გამოვლენილი სისუსტეები და გამოსწორებები

ტესტირების ფაზაში აღმოჩენილ იქნა რამდენიმე დაუცველობა, დაწყებული Cross-Site Scripting-დან (XSS) და დამთავრებული Broken Access Control (BAC) საკითხებით. კონკრეტულად რომ ვთქვათ, ტესტმა აღმოაჩინა დაუცველობა, როგორიცაა შენახული XSS მრავალ ფუნქციებში, არასაიმედო პირდაპირი ობიექტის მითითებები (IDOR) პრეზენტაციის წაშლის ფუნქციაში და პრივილეგიის ესკალაცია სხვადასხვა ფუნქციებში.

ის AhaSlides ტექნიკურმა გუნდმა, რომელიც Viettel Cyber ​​Security-სთან ერთად მუშაობდა, გადაჭრა ყველა გამოვლენილი საკითხი. ისეთი ზომები, როგორიცაა შეყვანის მონაცემების გაფილტვრა, მონაცემთა გამომავალი კოდირება, შესაბამისი პასუხების სათაურების გამოყენება და კონტენტის უსაფრთხოების მძლავრი პოლიტიკის (CSP) მიღება განხორციელდა ჩვენი დაცვის გასაძლიერებლად.

AhaSlides წარმატებით ჩააბარა Viettel Security-ის შეღწევადობის ტესტი

ორივე პრეზენტატორის და აუდიტორიის აპლიკაციებმა წარმატებით გაიარეს Viettel Security-ის მიერ ჩატარებული ყოვლისმომცველი შეღწევადობის ტესტი. ეს მკაცრი შეფასება ხაზს უსვამს ჩვენს ერთგულებას უსაფრთხოების მძლავრი პრაქტიკისა და მომხმარებლის მონაცემთა დაცვის მიმართ.

ტესტი, რომელიც ჩატარდა 2023 წლის დეკემბერში, გამოიყენა გრეიბოქსის მეთოდოლოგია, რომელიც ახდენს რეალურ სამყაროში თავდასხმის სცენარს. Viettel-ის უსაფრთხოების ექსპერტებმა ზედმიწევნით შეაფასეს ჩვენი პლატფორმა მოწყვლადობისთვის, გამოავლინეს გაუმჯობესების სფეროები.

გამოვლენილი სისუსტეები აღმოიფხვრა AhaSlides საინჟინრო გუნდი Viettel Security-თან თანამშრომლობით. განხორციელებული ღონისძიებები მოიცავს შეყვანის მონაცემთა ფილტრაციას, გამომავალი მონაცემების დაშიფვრას, კონტენტის უსაფრთხოების მძლავრ პოლიტიკას (CSP) და შესაბამისი პასუხების სათაურებს პლატფორმის შემდგომი გაძლიერებისთვის.

AhaSlides ასევე ჩადო ინვესტიცია მოწინავე მონიტორინგის ინსტრუმენტებში რეალურ დროში საფრთხის აღმოჩენისა და რეაგირებისთვის. გარდა ამისა, ჩვენი ინციდენტზე რეაგირების პროტოკოლები დაიხვეწა, რათა უზრუნველყოს სწრაფი და ეფექტური მოქმედება უსაფრთხოების დარღვევის შემთხვევაში.

უსაფრთხო და დაცული პლატფორმა

მომხმარებლებს შეუძლიათ დარწმუნებულნი იყვნენ, რომ მათი მონაცემები დაცულია და მათი ინტერაქტიული გამოცდილება დაცულია. უსაფრთხოების უწყვეტი შეფასებებითა და უწყვეტი გაუმჯობესებით, ჩვენ მზად ვართ შევქმნათ საიმედო და უსაფრთხო პლატფორმა ჩვენი მომხმარებლებისთვის.