AhaSlides បានឆ្លងកាត់ការសាកល្បងជ្រៀតចូលរបស់ Viettel Cyber Security

ahaslides បានឆ្លងកាត់ការធ្វើតេស្តជ្រៀតចូល

យើងមានសេចក្តីរំភើបដែលបានប្រកាសអំពីរឿងនោះ AhaSlides បានទទួលយក Greybox Pentest គ្រប់ជ្រុងជ្រោយ ដែលគ្រប់គ្រងដោយ Viettel Cyber Security។ ការពិនិត្យសុវត្ថិភាពស៊ីជម្រៅនេះបានកំណត់គោលដៅលើវេទិកាអនឡាញកំពូលពីររបស់យើង៖ កម្មវិធីអ្នកធ្វើបទបង្ហាញ (presenter.ahaslides.com) និងកម្មវិធីទស្សនិកជន (viewers.ahaslides.com).

ការធ្វើតេស្តសុវត្ថិភាពដែលបានដំណើរការចាប់ពីថ្ងៃទី 20 ខែធ្នូដល់ថ្ងៃទី 27 ខែធ្នូ ឆ្នាំ 2023 ពាក់ព័ន្ធនឹងការស៊ើបអង្កេតយ៉ាងយកចិត្តទុកដាក់ចំពោះចំណុចខ្សោយផ្នែកសុវត្ថិភាពផ្សេងៗ។ ក្រុមការងារមកពី Viettel Cyber Security បានធ្វើការវិភាគយ៉ាងស៊ីជម្រៅ និងបានដាក់ទង់លើផ្នែកជាច្រើនសម្រាប់ការកែលម្អនៅក្នុងប្រព័ន្ធរបស់យើង។

ចំណុចសំខាន់:

រយៈពេលសាកល្បង៖ ថ្ងៃទី ២០-២៧ ខែធ្នូ ឆ្នាំ ២០២៣
វិសាលភាព៖ ការវិភាគស៊ីជម្រៅលើភាពទន់ខ្សោយផ្នែកសន្តិសុខដែលមានសក្តានុពលផ្សេងៗ
លទ្ធផល: AhaSlides បានឆ្លងកាត់ការសាកល្បង បន្ទាប់ពីដោះស្រាយភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណ
ផលប៉ះពាល់៖ បង្កើនសុវត្ថិភាព និងភាពជឿជាក់សម្រាប់អ្នកប្រើប្រាស់របស់យើង។

តើ Pentest របស់ Viettel Security ជាអ្វី?

Pentest ខ្លីសម្រាប់ Penetration Test គឺជាការវាយប្រហារតាមអ៊ីនធឺណេតចំអកឡកឡឺយលើប្រព័ន្ធរបស់អ្នក ដើម្បីស្វែងរកកំហុសដែលអាចកេងប្រវ័ញ្ចបាន។ នៅក្នុងបរិបទនៃកម្មវិធីគេហទំព័រ Pentest គឺជាការវាយតម្លៃដ៏ពេញលេញមួយ ដើម្បីបញ្ជាក់ វិភាគ និងរាយការណ៍អំពីកំហុសសុវត្ថិភាពនៅក្នុងកម្មវិធីមួយ។ គិតថាវាជាការធ្វើតេស្តស្ត្រេសសម្រាប់ប្រព័ន្ធការពាររបស់អ្នក - វាបង្ហាញពីកន្លែងដែលការបំពានអាចកើតឡើង។

ធ្វើឡើងដោយអ្នកជំនាញតាមរដូវកាលនៅ Viettel Cyber Security ដែលជាឆ្កែកំពូលនៅក្នុងលំហសុវត្ថិភាពតាមអ៊ីនធឺណិត ការធ្វើតេស្តនេះគឺជាផ្នែកមួយនៃឈុតសេវាកម្មសន្តិសុខដ៏ទូលំទូលាយរបស់ពួកគេ។ វិធីសាស្រ្តធ្វើតេស្ត Greybox ដែលប្រើក្នុងការវាយតម្លៃរបស់យើងរួមបញ្ចូលទិដ្ឋភាពនៃការធ្វើតេស្តប្រអប់ខ្មៅ និងប្រអប់ស។ អ្នកសាកល្បងមាន Intel មួយចំនួនលើការងារខាងក្នុងនៃវេទិការបស់យើង ដោយធ្វើត្រាប់តាមការវាយប្រហារដោយពួក Hacker ដែលមានអន្តរកម្មពីមុនជាមួយប្រព័ន្ធ។

តាមរយៈការទាញយកប្រយោជន៍ជាប្រព័ន្ធនូវផ្នែកផ្សេងៗនៃហេដ្ឋារចនាសម្ព័ន្ធគេហទំព័ររបស់យើង ពីការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ និងការសរសេរស្គ្រីបឆ្លងគេហទំព័រ រហូតដល់ការផ្ទៀងផ្ទាត់ដែលខូច និងការប៉ះពាល់ទិន្នន័យរសើបនោះ Pentest ផ្តល់នូវរូបភាពជាក់ស្តែងនៃការគំរាមកំហែងដែលអាចកើតមាន។ វាមានភាពហ្មត់ចត់ គ្របដណ្តប់លើវ៉ិចទ័រវាយប្រហារផ្សេងៗ ហើយត្រូវបានធ្វើឡើងនៅក្នុងបរិយាកាសដែលបានគ្រប់គ្រង ដើម្បីធានាថាមិនមានគ្រោះថ្នាក់ដល់ប្រព័ន្ធដែលពាក់ព័ន្ធនោះទេ។

របាយការណ៍ចុងក្រោយមិនត្រឹមតែកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងផ្តល់អាទិភាពដល់ពួកគេដោយភាពធ្ងន់ធ្ងរ និងរួមបញ្ចូលការណែនាំសម្រាប់ជួសជុលពួកគេ។ ការឆ្លងកាត់ការសាកល្បងដ៏ទូលំទូលាយ និងម៉ត់ចត់បែបនេះ បញ្ជាក់ពីភាពរឹងមាំនៃសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ស្ថាប័ន និងជាប្លុកគ្រឹះសម្រាប់ការជឿទុកចិត្តនៅក្នុងយុគសម័យឌីជីថល។

កំណត់អត្តសញ្ញាណភាពទន់ខ្សោយ និងការជួសជុល

ក្នុងដំណាក់កាលសាកល្បង ភាពងាយរងគ្រោះជាច្រើនត្រូវបានរកឃើញ ចាប់ពីបញ្ហា Cross-Site Scripting (XSS) ដល់បញ្ហា Broken Access Control (BAC)។ ដើម្បីឱ្យជាក់លាក់ ការធ្វើតេស្តបានរកឃើញភាពងាយរងគ្រោះដូចជា Stored XSS ឆ្លងកាត់មុខងារជាច្រើន ឯកសារយោងវត្ថុផ្ទាល់ដែលមិនមានសុវត្ថិភាព (IDOR) នៅក្នុងមុខងារលុបការបង្ហាញ និងការកើនឡើងសិទ្ធិលើមុខងារផ្សេងៗ។

ចំពោះ AhaSlides ក្រុមការងារបច្ចេកវិទ្យា ដែលធ្វើការសហការគ្នាជាមួយ Viettel Cyber Security បានដោះស្រាយបញ្ហាទាំងអស់ដែលបានកំណត់. វិធានការដូចជាការច្រោះទិន្នន័យបញ្ចូល ការអ៊ិនកូដលទ្ធផលទិន្នន័យ ការប្រើប្រាស់បឋមកថាឆ្លើយតបសមស្រប និងការអនុម័តគោលការណ៍សុវត្ថិភាពខ្លឹមសារដ៏រឹងមាំ (CSP) ត្រូវបានអនុវត្តដើម្បីពង្រឹងការការពាររបស់យើង។

AhaSlides ឆ្លងកាត់ការសាកល្បងដោយជោគជ័យដោយក្រុមហ៊ុន Viettel Security

ទាំងកម្មវិធី Presenter និង Audience បានឆ្លងកាត់ការសាកល្បងដ៏ទូលំទូលាយដែលធ្វើឡើងដោយ Viettel Security ដោយជោគជ័យ។ ការវាយតម្លៃយ៉ាងម៉ត់ចត់នេះបញ្ជាក់ពីការប្តេជ្ញាចិត្តរបស់យើងចំពោះការអនុវត្តសុវត្ថិភាពដ៏រឹងមាំ និងការការពារទិន្នន័យអ្នកប្រើប្រាស់។

ការធ្វើតេស្តដែលបានធ្វើឡើងក្នុងខែធ្នូ ឆ្នាំ 2023 បានប្រើប្រាស់វិធីសាស្ត្រ Greybox ដោយក្លែងធ្វើសេណារីយ៉ូនៃការវាយប្រហារលើពិភពពិត។ អ្នកជំនាញផ្នែកសន្តិសុខរបស់ Viettel បានវាយតម្លៃយ៉ាងល្អិតល្អន់លើវេទិការបស់យើងសម្រាប់ភាពងាយរងគ្រោះ ដោយកំណត់តំបន់សម្រាប់ការកែលម្អ។

ភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណត្រូវបានដោះស្រាយដោយ AhaSlides ក្រុមវិស្វករ សហការជាមួយក្រុមហ៊ុន Viettel Security។ វិធានការដែលបានអនុវត្តរួមមានការត្រងទិន្នន័យបញ្ចូល ការអ៊ិនកូដទិន្នន័យលទ្ធផល គោលការណ៍សុវត្ថិភាពខ្លឹមសារដ៏រឹងមាំ (CSP) និងផ្នែកក្បាលឆ្លើយតបសមស្រប ដើម្បីពង្រឹងវេទិកាបន្ថែមទៀត។

AhaSlides ក៏បានវិនិយោគលើឧបករណ៍ត្រួតពិនិត្យកម្រិតខ្ពស់សម្រាប់ការរកឃើញ និងការឆ្លើយតបការគំរាមកំហែងក្នុងពេលជាក់ស្តែង។ លើសពីនេះ ពិធីសារឆ្លើយតបឧបទ្ទវហេតុរបស់យើងត្រូវបានកែលម្អ ដើម្បីធានាបាននូវសកម្មភាពរហ័ស និងមានប្រសិទ្ធភាពក្នុងករណីមានការរំលោភលើសុវត្ថិភាព។

វេទិកាសុវត្ថិភាព និងសុវត្ថិភាព

អ្នកប្រើប្រាស់អាចជឿជាក់បានថាទិន្នន័យរបស់ពួកគេត្រូវបានការពារ ហើយបទពិសោធន៍អន្តរកម្មរបស់ពួកគេនៅតែមានសុវត្ថិភាព។ ជាមួយនឹងការវាយតម្លៃសុវត្ថិភាពដែលកំពុងបន្ត និងការកែលម្អជាបន្តបន្ទាប់ យើងប្តេជ្ញាក្នុងការកសាងវេទិកាដែលអាចទុកចិត្តបាន និងសុវត្ថិភាពសម្រាប់អ្នកប្រើប្រាស់របស់យើង។

ស្លាក: