Біз бұл туралы қуаныштымыз AhaSlides Viettel Cyber Security басқаратын барлығын қамтитын Greybox Pentest бағдарламасына ие болды. Бұл тереңдетілген қауіпсіздік сараптамасы біздің екі флагмандық онлайн платформаға бағытталған: Presenter қолданбасы (presenter.ahaslides.com) және Аудитория қолданбасы (auditoriya.ahaslides.com).
20 жылдың 27 желтоқсанынан 2023 желтоқсанына дейін созылған қауіпсіздік сынағы әртүрлі қауіпсіздік әлсіз жақтарын мұқият тексеруді қамтыды. Viettel Cyber Security командасы терең талдау жасап, жүйеміздегі жақсарту үшін бірнеше аумақты белгіледі.
Негізгі ұпайлар:
- Тестілеу кезеңі: 20-27 желтоқсан 2023 ж
- Қолдану аясы: қауіпсіздіктің әртүрлі ықтимал әлсіз жақтарын терең талдау
- Нәтиже: AhaSlides анықталған осалдықтарды жойғаннан кейін сынақтан өтті
- Әсері: пайдаланушыларымыз үшін күшейтілген қауіпсіздік пен сенімділік
Viettel Security компаниясының Pentest деген не?
«Пенетрация сынағы» деген сөздің қысқартылған «Пентест» - бұл пайдаланатын қателерді ашу үшін жүйеңізге жасалған жалған кибершабуыл. Веб-қосымшалар контекстінде Pentest қолданбадағы қауіпсіздік кемшіліктерін анықтауға, талдауға және есеп беруге арналған толық бағалау болып табылады. Оны жүйеңіздің қорғанысы үшін стресс-тест ретінде қарастырыңыз - ол ықтимал бұзушылықтардың қай жерде болуы мүмкін екенін көрсетеді.
Киберқауіпсіздік кеңістігіндегі жетекші ит Viettel Cyber Security компаниясының тәжірибелі мамандары жүргізген бұл сынақ олардың қауіпсіздік қызметінің кең ауқымды жиынтығының бөлігі болып табылады. Біздің бағалауымызда қолданылатын Greybox тестілеу әдістемесі қара жәшік пен ақ жәшік тестілерінің аспектілерін қамтиды. Тестілеушілер біздің платформамыздың ішкі жұмысы туралы біраз ақпаратқа ие, ол жүйемен алдын ала өзара әрекеттесуі бар хакердің шабуылына еліктейді.
Веб-инфрақұрылымымыздың әртүрлі қырларын жүйелі түрде пайдалану арқылы, сервердің қате конфигурациялары мен сайтаралық сценарийлерден бұзылған аутентификацияға және құпия деректердің экспозициясына дейін, Pentest ықтимал қауіптердің шынайы бейнесін ұсынады. Бұл әртүрлі шабуыл векторларын қамтитын мұқият және тартылған жүйелерге нақты зиян келтірмеу үшін басқарылатын ортада жүргізіледі.
Қорытынды есеп осалдықтарды анықтап қана қоймайды, сонымен қатар оларға ауырлық дәрежесі бойынша басымдық береді және оларды түзету бойынша ұсыныстарды қамтиды. Осындай жан-жақты және қатаң сынақтан өту ұйымның киберқауіпсіздігінің мықтылығын көрсетеді және цифрлық дәуірдегі сенімнің негізгі құрылыс материалы болып табылады.
Анықталған кемшіліктер мен түзетулер
Тестілеу кезеңінде бірнеше осалдықтар анықталды, олар Cross-Site Scripting (XSS) бастап Broken Access Control (BAC) мәселелеріне дейін. Нақтырақ айтсақ, сынақ бірнеше мүмкіндіктер бойынша сақталған XSS, Көрсетілімді жою функциясындағы қауіпсіз емес тікелей нысан сілтемелері (IDOR) және әртүрлі функциялар бойынша артықшылықты арттыру сияқты осалдықтарды анықтады.
The AhaSlides Viettel Cyber Security компаниясымен қоян-қолтық жұмыс істейтін технологиялық топ барлық анықталған мәселелерді шешті. Қорғанысымызды күшейту үшін кіріс деректерді сүзу, деректерді шығаруды кодтау, сәйкес жауап тақырыптарын пайдалану және сенімді мазмұндық қауіпсіздік саясатын (CSP) қабылдау сияқты шаралар жүзеге асырылды.
AhaSlides Viettel Security компаниясының ену сынағынан сәтті өтті
Баяндамашы және Аудитория қолданбалары Viettel Security жүргізген кешенді ену сынағынан сәтті өтті. Бұл қатаң бағалау біздің сенімді қауіпсіздік тәжірибелері мен пайдаланушы деректерін қорғау жөніндегі міндеттемемізді көрсетеді.
2023 жылдың желтоқсанында өткізілген сынақта нақты әлемдегі шабуыл сценарийін имитациялайтын Greybox әдістемесі қолданылды. Viettel компаниясының қауіпсіздік сарапшылары жақсартуды қажет ететін аймақтарды анықтай отырып, платформамызды осалдықтарға мұқият бағалады.
Анықталған осалдықтар жойылды AhaSlides Viettel Security компаниясымен бірлесіп инженерлік топ. Іске асырылған шараларға кіріс деректерін сүзу, шығыс деректерін кодтау, сенімді мазмұндық қауіпсіздік саясаты (CSP) және платформаны одан әрі нығайту үшін тиісті жауап тақырыптары кіреді.
AhaSlides сонымен қатар нақты уақыттағы қауіптерді анықтау және оған жауап беру үшін озық бақылау құралдарына инвестиция салды. Бұған қоса, қауіпсіздік бұзылған жағдайда жылдам және тиімді әрекет етуді қамтамасыз ету үшін оқиғаға жауап беру хаттамалары нақтыланды.
Қауіпсіз және қауіпсіз платформа
Пайдаланушылар деректерінің қорғалғанына және интерактивті тәжірибелері қауіпсіз болып қалатынына сенімді бола алады. Қауіпсіздікті тұрақты бағалау және үздіксіз жақсарту арқылы біз пайдаланушыларымыз үшін сенімді және қауіпсіз платформа құруды міндеттеміз.
