Биз муну жарыялоого кубанычтабыз AhaSlides Viettel Cyber Security башкарган бардыгын камтыган Greybox Pentest программасын алды. Бул тереңдетилген коопсуздук экспертизасы биздин эки флагмандык онлайн платформабызга багытталган: Presenter колдонмосу (presenter.ahaslides.com) жана Аудитория колдонмосу (auditoriya.ahaslides.com).
20-жылдын 27-декабрынан 2023-декабрына чейин созулган коопсуздук тести коопсуздуктун ар кандай алсыз жактарын кылдат иликтөөнү камтыды. Viettel Cyber Security командасы терең талдоо жүргүзүп, биздин тутумубузда жакшыртуу үчүн бир нече аймактарды белгилешти.
Негизги учурлар:
- Сыноо мөөнөтү: 20-жылдын 27-2023-декабрь
- Колдонуу чөйрөсү: коопсуздуктун ар кандай потенциалдуу алсыз жактарын терең талдоо
- Жыйынтык: AhaSlides аныкталган кемчиликтерди жоюудан кийин тесттен өттү
- Таасири: Биздин колдонуучулар үчүн коопсуздукту жана ишенимдүүлүктү жогорулатуу
Viettel Security компаниясынын Пентест деген эмне?
Pentest, Penetration Test деген сөздүн кыскасы, бул сиздин тутумуңузга колдонулуучу мүчүлүштүктөрдү ачуу үчүн жасалган жасалма киберчабуул. Веб-тиркемелердин контекстинде Пентест колдонмодогу коопсуздук кемчиликтерин так аныктоо, талдоо жана отчет берүү үчүн толук баалоо болуп саналат. Аны тутумуңуздун коргонуусу үчүн стресс-тест деп ойлоңуз - бул мүмкүн болуучу бузуулар кайсы жерде болушу мүмкүн экенин көрсөтөт.
Киберкоопсуздук мейкиндигинде эң мыкты ит болгон Viettel Cyber Security компаниясынын тажрыйбалуу адистери тарабынан жүргүзүлгөн бул тест алардын коопсуздук кызматынын кеңири топтомунун бир бөлүгү болуп саналат. Биздин баалоодо колдонулган Greybox тестирлөө методологиясы кара куту жана ак куту тестинин аспектилерин камтыйт. Сыноочулар биздин платформанын ички иштеши боюнча бир аз маалыматка ээ, алар система менен мурунтан иштешкен хакердин чабуулун туурайт.
Веб-инфраструктурабыздын ар кандай аспектилерин системалуу түрдө пайдалануу менен, сервердин туура эмес конфигурацияларынан жана сайттар аралык скрипттерден бузулган аутентификацияга жана купуя маалыматтардын экспозициясына чейин, Pentest потенциалдуу коркунучтардын реалдуу сүрөтүн сунуштайт. Бул кылдат, ар кандай чабуул векторлорун камтыйт жана тартылган системаларга реалдуу зыян келтирбөө үчүн көзөмөлдөнүүчү чөйрөдө жүргүзүлөт.
Корутунду отчет аялуу жерлерди гана аныктабастан, ошондой эле олуттуулугу боюнча аларга артыкчылык берет жана аларды оңдоо боюнча сунуштарды камтыйт. Мындай комплекстүү жана катаал сыноодон өтүү уюмдун киберкоопсуздугунун күчтүүлүгүн көрсөтүп турат жана санариптик доордо ишеним үчүн негизги курулуш материалы болуп саналат.
Белгиленген алсыздыктар жана оңдоолор
Сыноо этабында сайттар аралык скрипттен (XSS) тартып Broken Access Control (BAC) маселелерине чейин бир нече алсыздыктар табылган. Тактап айтканда, тест бир нече функциялар боюнча Сакталган XSS, Презентацияны жок кылуу функциясында Кооптуу Түз Объект Шилтемелери (IDOR) жана Ар кандай функциялардагы артыкчылыктарды жогорулатуу сыяктуу кемчиликтерди ачты.
The AhaSlides Viettel Cyber Security менен кол кармашып иштеген технологиялык топ бардык аныкталган маселелерди чечти. Киргизилген маалыматтарды чыпкалоо, маалыматтарды чыгарууну коддоо, тиешелүү жооп аталыштарын колдонуу жана бекем Мазмундук Коопсуздук Саясатынын (CSP) кабыл алынышы сыяктуу чаралар биздин коргонуубузду бекемдөө үчүн ишке ашырылган.
AhaSlides Viettel Security компаниясынын кирүү сынагынан ийгиликтүү өттү
Алып баруучу жана Аудитория тиркемелери Viettel Security тарабынан жүргүзүлгөн комплекстүү кириш сынагынан ийгиликтүү өтүштү. Бул катаал баалоо биздин бекем коопсуздук практикасына жана колдонуучунун маалыматтарын коргоого берилгендигин баса белгилейт.
2023-жылдын декабрында өткөрүлгөн тестте чыныгы кол салуу сценарийин окшоштурган Greybox методологиясы колдонулган. Viettel'дин коопсуздук боюнча эксперттери биздин платформабызды начар жерлерге кылдаттык менен баа берип, жакшыртуу үчүн аймактарды аныкташты.
Аныкталган кемчиликтер жоюлду AhaSlides Viettel Security менен биргеликте инженердик топ. Ишке ашырылган чараларга киргизүү маалыматтарын чыпкалоо, чыгуу маалыматтарын коддоо, күчтүү Контенттик Коопсуздук Саясаты (CSP) жана платформаны андан ары чыңдоо үчүн тийиштүү жооп темалары кирет.
AhaSlides ошондой эле реалдуу убакытта коркунучтарды аныктоо жана ага жооп берүү үчүн өнүккөн мониторинг куралдарына инвестиция салды. Кошумчалай кетсек, коопсуздук бузулган учурда ыкчам жана эффективдүү иш-аракеттерди камсыз кылуу үчүн инциденттерге жооп берүү протоколдорубуз такталган.
Коопсуз жана коопсуз платформа
Колдонуучулар алардын маалыматтары корголгонуна жана интерактивдүү тажрыйбалары коопсуз бойдон кала берээрине ишене алышат. Коопсуздукту үзгүлтүксүз баалоо жана тынымсыз өркүндөтүү менен биз колдонуучуларыбыз үчүн ишенимдүү жана коопсуз платформа курууга умтулабыз.