우리는 다음을 발표하게되어 기쁩니다. AhaSlides Viettel Cyber Security에서 관리하는 포괄적인 Greybox Pentest에서 통과했습니다. 이 심층적인 보안 검사는 두 가지 주요 온라인 플랫폼인 Presenter 앱을 대상으로 했습니다.발표자.ahaslides.com) 및 Audience 앱(Audience.ahaslides.com).
20년 27월 2023일부터 XNUMX월 XNUMX일까지 진행된 보안 테스트에서는 다양한 보안 취약점을 꼼꼼하게 조사했습니다. Viettel Cyber Security 팀은 심층 분석을 수행하고 시스템 내에서 개선이 필요한 여러 영역을 표시했습니다.
핵심 포인트:
- 테스트 기간: 20년 27월 2023~XNUMX일
- 범위: 다양한 잠재적 보안 약점에 대한 심층 분석
- 결과 : AhaSlides 식별된 취약점을 해결한 후 테스트 통과
- 영향: 사용자를 위한 향상된 보안 및 안정성
비엣텔시큐리티의 펜테스트란?
Penetration Test의 약자인 Pentest는 본질적으로 악용 가능한 버그를 찾아내기 위해 시스템에 대한 모의 사이버 공격입니다. 웹 애플리케이션의 맥락에서 침투 테스트는 애플리케이션 내의 보안 결함을 정확히 찾아내고, 분석하고, 보고하는 철저한 평가입니다. 이를 시스템 방어에 대한 스트레스 테스트라고 생각하십시오. 이는 잠재적인 위반이 발생할 수 있는 위치를 보여줍니다.
사이버 보안 분야의 선두주자인 Viettel Cyber Security의 노련한 전문가가 수행한 이 테스트는 Viettel Cyber Security의 광범위한 보안 서비스 제품군의 일부입니다. 평가에 사용된 그레이박스 테스트 방법에는 블랙박스와 화이트박스 테스트의 측면이 모두 통합되어 있습니다. 테스터는 시스템과 사전에 상호 작용한 해커의 공격을 모방하여 플랫폼의 내부 작동에 대한 정보를 가지고 있습니다.
Pentest는 잘못된 서버 구성과 사이트 간 스크립팅부터 손상된 인증 및 민감한 데이터 노출에 이르기까지 웹 인프라의 다양한 측면을 체계적으로 활용함으로써 잠재적인 위협에 대한 현실적인 그림을 제공합니다. 이는 다양한 공격 벡터를 포괄하는 철저하고 통제된 환경에서 수행되어 관련 시스템에 실제 피해가 발생하지 않도록 합니다.
최종 보고서에는 취약점을 식별할 뿐만 아니라 심각도에 따라 우선순위를 지정하고 해결을 위한 권장 사항도 포함합니다. 이러한 포괄적이고 엄격한 테스트를 통과하는 것은 조직의 사이버 보안의 강점을 강조하며 디지털 시대의 신뢰를 위한 기본 구성 요소입니다.
확인된 약점 및 수정 사항
테스트 단계에서 XSS(Cross-Site Scripting)부터 BAC(Broken Access Control) 문제에 이르기까지 여러 가지 취약점이 발견되었습니다. 구체적으로 말하면, 테스트에서는 여러 기능에 걸친 저장된 XSS, 프레젠테이션 삭제 기능의 안전하지 않은 직접 개체 참조(IDOR), 다양한 기능에 걸친 권한 상승과 같은 취약점을 발견했습니다.
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 AhaSlides Viettel Cyber Security와 긴밀히 협력하는 기술 팀은 식별된 모든 문제를 해결했습니다.. 방어력을 강화하기 위해 입력 데이터 필터링, 데이터 출력 인코딩, 적절한 응답 헤더 사용, 강력한 콘텐츠 보안 정책(CSP) 채택과 같은 조치가 구현되었습니다.
AhaSlides Viettel Security의 침투 테스트에 성공적으로 통과
Presenter 및 Audience 애플리케이션 모두 Viettel Security가 실시한 포괄적인 침투 테스트를 성공적으로 통과했습니다. 이 엄격한 평가는 강력한 보안 관행과 사용자 데이터 보호에 대한 우리의 약속을 강조합니다.
2023년 XNUMX월에 실시된 이 테스트에서는 Greybox 방법론을 사용하여 실제 공격 시나리오를 시뮬레이션했습니다. Viettel의 보안 전문가는 플랫폼의 취약성을 꼼꼼하게 평가하여 개선이 필요한 영역을 식별했습니다.
식별된 취약점은 다음에 의해 해결되었습니다. AhaSlides Viettel Security와 협력하는 엔지니어링 팀. 구현된 조치에는 입력 데이터 필터링, 출력 데이터 인코딩, 강력한 콘텐츠 보안 정책(CSP) 및 플랫폼을 더욱 강화하기 위한 적절한 응답 헤더가 포함됩니다.
AhaSlides 실시간 위협 탐지 및 대응을 위한 고급 모니터링 도구에도 투자했습니다. 또한, 보안 침해 발생 시 신속하고 효과적인 조치를 보장하기 위해 사고 대응 프로토콜이 개선되었습니다.
안전하고 안전한 플랫폼
사용자는 자신의 데이터가 보호되고 대화형 경험이 안전하게 유지된다는 확신을 가질 수 있습니다. 지속적인 보안 평가와 지속적인 개선을 통해 우리는 사용자를 위한 안정적이고 안전한 플랫폼을 구축하기 위해 최선을 다하고 있습니다.