Em bi kêfxweşî radigihînin ku AhaSlides bi tevayî Greybox Pentest ku ji hêla Viettel Cyber Security ve hatî rêve kirin, qebûl kir. Vê azmûna ewlehiyê ya kûr her du platformên me yên serhêl hedef kir: sepana Pêşkêşkar (presenter.ahaslides.com) û sepana Temaşevan (audience.ahaslides.com).
Testa ewlehiyê, ku ji 20-ê Kanûna Pêşîn heya 27-ê Kanûna Pêşîn, 2023-an dom kir, ji bo qelsiyên cûrbecûr yên ewlehiyê vekolînek berbiçav pêk anî. Tîma ji Ewlekariya Sîberê ya Viettel vekolînek kûr kir û ji bo çêtirkirina pergala me çend deveran destnîşan kir.
Key Points:
- Serdema Testê: 20-27 Kanûn, 2023
- Qada: Analîzek kûr a qelsiyên ewlehiyê yên cihêreng
- Netîce: AhaSlides piştî ku qelsiyên naskirî çareser kirin ceribandinê derbas kir
- Bandor: Ewlekarî û pêbaweriya zêde ji bo bikarhênerên me
Pentesta Ewlekariya Viettel çi ye?
Pentest, bi kurtasî ji bo Testa Penetration, bi rastî êrîşek sîberî ya xapînok e li ser pergala we da ku xeletiyên îstîsmarker derxînin holê. Di çarçoweya serîlêdanên malperê de, Pentest nirxandinek bêkêmasî ye ku li ser xeletiyên ewlehiyê yên di hundurê serîlêdanê de destnîşan bike, analîz bike û rapor bike. Wê wekî ceribandinek stresê ya ji bo berevaniya pergala xwe bifikirin - ew destnîşan dike ku li ku derê dibe ku binpêkirinên potansiyel çêbibin.
Ji hêla pisporên demsalî yên li Viettel Cyber Security, kûçikek top di qada ewlehiya sîberê de, ev ceribandin beşek ji karûbarê ewlehiya wan a berfireh e. Metodolojiya ceribandina Greybox-ê ku di nirxandina me de hatî bikar anîn, hem aliyên ceribandina qutiya reş û hem jî qutiya spî vedihewîne. Testers li ser xebata hundurîn a platforma me hin aqil hene, êrîşek ji hêla hackerek ku berê xwedan hin pêwendiyek bi pergalê re ye, teqlîd dikin.
Bi îstismarkirina bi rêkûpêk aliyên cihêreng ên binesaziya meya webê, ji mîhengên çewt ên serverê û nivîsandina nav-malperê bigire heya rastrastkirina şikestî û eşkerekirina daneya hesas, Pentest wêneyek rastîn a xetereyên potansiyel pêşkêşî dike. Ew bêkêmasî ye, vektorên êrîşê yên cihêreng vedihewîne, û di hawîrdorek kontrolkirî de tête kirin da ku zirarek rastîn ji pergalên têkildar re peyda neke.
Rapora paşîn ne tenê qelsiyan destnîşan dike, lê di heman demê de wan ji hêla giraniyê ve jî pêşîn dike û pêşniyarên ji bo sererastkirina wan jî vedigire. Derbaskirina ceribandinek wusa berfireh û hişk hêza ewlehiya sîber a rêxistinê destnîşan dike û ji bo pêbaweriya di serdema dîjîtal de avahiyek bingehîn e.
Qelsî û Çareseriyên Nasandin
Di qonaxa ceribandinê de, gelek qelsî hatin dîtin, ji Nivîsarên Xaça-Malper (XSS) bigire heya pirsgirêkên Kontrola Têketinê ya Şikestî (BAC). Bi taybetî, ceribandinê di fonksiyona jêbirina Pêşkêşkirinê de Zelaliyên mîna XSS Stored di nav gelek taybetmendiyan de, Referansên Rasterê yên Neewle (IDOR) di fonksiyona jêbirina Pêşkêşkirinê de, û Zêdekirina îmtiyazê di nav fonksiyonên cihêreng de derxist holê.
Ew AhaSlides Tîmê teknolojiyê, ku bi Viettel Ewlekariya Cyber-ê re bi hev re dixebitin, hemî pirsgirêkên naskirî çareser kiriye. Tedbîrên mîna fîlterkirina daneya têketinê, şîfrekirina derana daneyê, karanîna sernavên bersivê yên guncan, û pejirandina Siyaseta Ewlekariya Naverokê ya bihêz (CSP) hatine bicîh kirin ku berevaniya me xurt bike.
AhaSlides Ji hêla Ewlekariya Viettel ve Testa Penetasyonê bi serfirazî derbas kir
Hem serîlêdanên Pêşkêşker û hem jî Temaşevan bi serfirazî ceribandinek têketina berfireh a ku ji hêla Ewlekariya Viettel ve hatî çêkirin derbas kirin. Ev nirxandina hişk pabendbûna me ya ji bo pratîkên ewlehiyê yên bihêz û parastina daneyên bikarhêner radixe ber çavan.
Testê, ku di Kanûna 2023-an de hate kirin, metodolojiya Greybox bikar anî, senaryoyek êrişek cîhana rastîn simul dike. Pisporên ewlehiyê yên Viettel bi hûrgulî platforma me ji bo qelsiyan nirxand, qadên ji bo çêtirkirinê destnîşan kirin.
Qelsiyên ku hatin tespîtkirin ji hêla parêzgehê ve hatin çareser kirin AhaSlides tîmê endezyariyê bi hevkariya Ewlekariya Viettel. Tedbîrên ku hatine bicîh kirin fîlterkirina daneya têketinê, şîfrekirina daneya derketinê, Siyaseta Ewlekariya Naverokê ya bihêz (CSP), û sernavên bersivê yên guncan hene ku platformê bêtir xurt bikin.
AhaSlides di heman demê de di amûrên çavdêriya pêşkeftî de ji bo tespîtkirin û bersivdayina metirsiyê di dema rast de veberhênan kiriye. Wekî din, protokolên me yên bersivdana bûyerê hatine safîkirin da ku di bûyerek têkçûnek ewlehiyê de çalakiyek bilez û bibandor peyda bike.
Platformek Ewle û Ewle
Bikarhêner dikarin pê ewle bin ku daneyên wan têne parastin û ezmûnên wan ên danûstendinê ewledar dimînin. Bi nirxandinên ewlehiyê yên domdar û başkirina domdar, em bi avakirina platformek pêbawer û ewledar ji bo bikarhênerên xwe ne.