AhaSlides បានឆ្លងកាត់ការសាកល្បងជ្រៀតចូលរបស់ Viettel Cyber ​​Security

ការប្រកាស

AhaSlides ក្រុមការងារ 05 ធ្នូ, 2024 4 នាទីអាន

វិញ្ញាបនបត្រតេស្តជ្រៀតចូល viettel សម្រាប់ ahaslides

យើងមានសេចក្តីរំភើបដែលបានប្រកាសអំពីរឿងនោះ AhaSlides បានទទួលយក Greybox Pentest គ្រប់ជ្រុងជ្រោយ ដែលគ្រប់គ្រងដោយ Viettel Cyber ​​Security។ ការ​ពិនិត្យ​សុវត្ថិភាព​ស៊ី​ជម្រៅ​នេះ​បាន​កំណត់​គោលដៅ​លើ​វេទិកា​អន​ឡាញ​កំពូល​ពីរ​របស់​យើង​៖ កម្មវិធី​អ្នក​ធ្វើ​បទ​បង្ហាញ (presenter.ahaslides.com) និងកម្មវិធីទស្សនិកជន (viewers.ahaslides.com).

ការធ្វើតេស្តសុវត្ថិភាពដែលបានដំណើរការចាប់ពីថ្ងៃទី 20 ខែធ្នូដល់ថ្ងៃទី 27 ខែធ្នូ ឆ្នាំ 2023 ពាក់ព័ន្ធនឹងការស៊ើបអង្កេតយ៉ាងយកចិត្តទុកដាក់ចំពោះចំណុចខ្សោយផ្នែកសុវត្ថិភាពផ្សេងៗ។ ក្រុមការងារមកពី Viettel Cyber ​​Security បានធ្វើការវិភាគយ៉ាងស៊ីជម្រៅ និងបានដាក់ទង់លើផ្នែកជាច្រើនសម្រាប់ការកែលម្អនៅក្នុងប្រព័ន្ធរបស់យើង។

ចំណុច​សំខាន់:

  • រយៈពេលសាកល្បង៖ ថ្ងៃទី ២០-២៧ ខែធ្នូ ឆ្នាំ ២០២៣
  • វិសាលភាព៖ ការវិភាគស៊ីជម្រៅលើភាពទន់ខ្សោយផ្នែកសន្តិសុខដែលមានសក្តានុពលផ្សេងៗ
  • លទ្ធផល: AhaSlides បានឆ្លងកាត់ការសាកល្បង បន្ទាប់ពីដោះស្រាយភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណ
  • ផលប៉ះពាល់៖ បង្កើនសុវត្ថិភាព និងភាពជឿជាក់សម្រាប់អ្នកប្រើប្រាស់របស់យើង។

តើ Pentest របស់ Viettel Security ជាអ្វី?

Pentest ខ្លីសម្រាប់ Penetration Test គឺជាការវាយប្រហារតាមអ៊ីនធឺណេតចំអកឡកឡឺយលើប្រព័ន្ធរបស់អ្នក ដើម្បីស្វែងរកកំហុសដែលអាចកេងប្រវ័ញ្ចបាន។ នៅក្នុងបរិបទនៃកម្មវិធីគេហទំព័រ Pentest គឺជាការវាយតម្លៃដ៏ពេញលេញមួយ ដើម្បីបញ្ជាក់ វិភាគ និងរាយការណ៍អំពីកំហុសសុវត្ថិភាពនៅក្នុងកម្មវិធីមួយ។ គិត​ថា​វា​ជា​ការ​ធ្វើ​តេស្ត​ស្ត្រេស​សម្រាប់​ប្រព័ន្ធ​ការពារ​របស់​អ្នក - វា​បង្ហាញ​ពី​កន្លែង​ដែល​ការ​បំពាន​អាច​កើត​ឡើង។

ធ្វើឡើងដោយអ្នកជំនាញតាមរដូវកាលនៅ Viettel Cyber ​​Security ដែលជាឆ្កែកំពូលនៅក្នុងលំហសុវត្ថិភាពតាមអ៊ីនធឺណិត ការធ្វើតេស្តនេះគឺជាផ្នែកមួយនៃឈុតសេវាកម្មសន្តិសុខដ៏ទូលំទូលាយរបស់ពួកគេ។ វិធីសាស្រ្តធ្វើតេស្ត Greybox ដែលប្រើក្នុងការវាយតម្លៃរបស់យើងរួមបញ្ចូលទិដ្ឋភាពនៃការធ្វើតេស្តប្រអប់ខ្មៅ និងប្រអប់ស។ អ្នកសាកល្បងមាន Intel មួយចំនួនលើការងារខាងក្នុងនៃវេទិការបស់យើង ដោយធ្វើត្រាប់តាមការវាយប្រហារដោយពួក Hacker ដែលមានអន្តរកម្មពីមុនជាមួយប្រព័ន្ធ។

តាមរយៈការទាញយកប្រយោជន៍ជាប្រព័ន្ធនូវផ្នែកផ្សេងៗនៃហេដ្ឋារចនាសម្ព័ន្ធគេហទំព័ររបស់យើង ពីការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ និងការសរសេរស្គ្រីបឆ្លងគេហទំព័រ រហូតដល់ការផ្ទៀងផ្ទាត់ដែលខូច និងការប៉ះពាល់ទិន្នន័យរសើបនោះ Pentest ផ្តល់នូវរូបភាពជាក់ស្តែងនៃការគំរាមកំហែងដែលអាចកើតមាន។ វាមានភាពហ្មត់ចត់ គ្របដណ្តប់លើវ៉ិចទ័រវាយប្រហារផ្សេងៗ ហើយត្រូវបានធ្វើឡើងនៅក្នុងបរិយាកាសដែលបានគ្រប់គ្រង ដើម្បីធានាថាមិនមានគ្រោះថ្នាក់ដល់ប្រព័ន្ធដែលពាក់ព័ន្ធនោះទេ។

របាយការណ៍ចុងក្រោយមិនត្រឹមតែកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងផ្តល់អាទិភាពដល់ពួកគេដោយភាពធ្ងន់ធ្ងរ និងរួមបញ្ចូលការណែនាំសម្រាប់ជួសជុលពួកគេ។ ការឆ្លងកាត់ការសាកល្បងដ៏ទូលំទូលាយ និងម៉ត់ចត់បែបនេះ បញ្ជាក់ពីភាពរឹងមាំនៃសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ស្ថាប័ន និងជាប្លុកគ្រឹះសម្រាប់ការជឿទុកចិត្តនៅក្នុងយុគសម័យឌីជីថល។

កំណត់អត្តសញ្ញាណភាពទន់ខ្សោយ និងការជួសជុល

ក្នុងដំណាក់កាលសាកល្បង ភាពងាយរងគ្រោះជាច្រើនត្រូវបានរកឃើញ ចាប់ពីបញ្ហា Cross-Site Scripting (XSS) ដល់បញ្ហា Broken Access Control (BAC)។ ដើម្បីឱ្យជាក់លាក់ ការធ្វើតេស្តបានរកឃើញភាពងាយរងគ្រោះដូចជា Stored XSS ឆ្លងកាត់មុខងារជាច្រើន ឯកសារយោងវត្ថុផ្ទាល់ដែលមិនមានសុវត្ថិភាព (IDOR) នៅក្នុងមុខងារលុបការបង្ហាញ និងការកើនឡើងសិទ្ធិលើមុខងារផ្សេងៗ។

ចំពោះ AhaSlides ក្រុមការងារបច្ចេកវិទ្យា ដែលធ្វើការសហការគ្នាជាមួយ Viettel Cyber ​​Security បានដោះស្រាយបញ្ហាទាំងអស់ដែលបានកំណត់. វិធានការដូចជាការច្រោះទិន្នន័យបញ្ចូល ការអ៊ិនកូដលទ្ធផលទិន្នន័យ ការប្រើប្រាស់បឋមកថាឆ្លើយតបសមស្រប និងការអនុម័តគោលការណ៍សុវត្ថិភាពខ្លឹមសារដ៏រឹងមាំ (CSP) ត្រូវបានអនុវត្តដើម្បីពង្រឹងការការពាររបស់យើង។

AhaSlides ឆ្លងកាត់ការសាកល្បងដោយជោគជ័យដោយក្រុមហ៊ុន Viettel Security

ទាំងកម្មវិធី Presenter និង Audience បានឆ្លងកាត់ការសាកល្បងដ៏ទូលំទូលាយដែលធ្វើឡើងដោយ Viettel Security ដោយជោគជ័យ។ ការវាយតម្លៃយ៉ាងម៉ត់ចត់នេះបញ្ជាក់ពីការប្តេជ្ញាចិត្តរបស់យើងចំពោះការអនុវត្តសុវត្ថិភាពដ៏រឹងមាំ និងការការពារទិន្នន័យអ្នកប្រើប្រាស់។

ការធ្វើតេស្តដែលបានធ្វើឡើងក្នុងខែធ្នូ ឆ្នាំ 2023 បានប្រើប្រាស់វិធីសាស្ត្រ Greybox ដោយក្លែងធ្វើសេណារីយ៉ូនៃការវាយប្រហារលើពិភពពិត។ អ្នកជំនាញផ្នែកសន្តិសុខរបស់ Viettel បានវាយតម្លៃយ៉ាងល្អិតល្អន់លើវេទិការបស់យើងសម្រាប់ភាពងាយរងគ្រោះ ដោយកំណត់តំបន់សម្រាប់ការកែលម្អ។

ភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណត្រូវបានដោះស្រាយដោយ AhaSlides ក្រុមវិស្វករ សហការជាមួយក្រុមហ៊ុន Viettel Security។ វិធានការដែលបានអនុវត្តរួមមានការត្រងទិន្នន័យបញ្ចូល ការអ៊ិនកូដទិន្នន័យលទ្ធផល គោលការណ៍សុវត្ថិភាពខ្លឹមសារដ៏រឹងមាំ (CSP) និងផ្នែកក្បាលឆ្លើយតបសមស្រប ដើម្បីពង្រឹងវេទិកាបន្ថែមទៀត។

AhaSlides ក៏បានវិនិយោគលើឧបករណ៍ត្រួតពិនិត្យកម្រិតខ្ពស់សម្រាប់ការរកឃើញ និងការឆ្លើយតបការគំរាមកំហែងក្នុងពេលជាក់ស្តែង។ លើសពីនេះ ពិធីសារឆ្លើយតបឧបទ្ទវហេតុរបស់យើងត្រូវបានកែលម្អ ដើម្បីធានាបាននូវសកម្មភាពរហ័ស និងមានប្រសិទ្ធភាពក្នុងករណីមានការរំលោភលើសុវត្ថិភាព។

វេទិកាសុវត្ថិភាព និងសុវត្ថិភាព

អ្នកប្រើប្រាស់អាចជឿជាក់បានថាទិន្នន័យរបស់ពួកគេត្រូវបានការពារ ហើយបទពិសោធន៍អន្តរកម្មរបស់ពួកគេនៅតែមានសុវត្ថិភាព។ ជាមួយនឹងការវាយតម្លៃសុវត្ថិភាពដែលកំពុងបន្ត និងការកែលម្អជាបន្តបន្ទាប់ យើងប្តេជ្ញាក្នុងការកសាងវេទិកាដែលអាចទុកចិត្តបាន និងសុវត្ថិភាពសម្រាប់អ្នកប្រើប្រាស់របស់យើង។