ພວກເຮົາມີຄວາມຕື່ນເຕັ້ນທີ່ຈະປະກາດວ່າ AhaSlides ໄດ້ເຂົ້າຮ່ວມໂຄງການ Greybox Pentest ຮອບດ້ານທີ່ຄຸ້ມຄອງໂດຍ Viettel Cyber Security. ການກວດສອບຄວາມປອດໄພແບບເລິກເຊິ່ງນີ້ແນເປົ້າໝາຍໃສ່ສອງແພລດຟອມອອນໄລນ໌ທີ່ໂດດເດັ່ນຂອງພວກເຮົາ: ແອັບ Presenter (presenter.ahaslides.com) ແລະແອັບຜູ້ຊົມ (viewers.ahaslides.com).
ການທົດສອບຄວາມປອດໄພ, ເຊິ່ງໄດ້ດຳເນີນໄປແຕ່ວັນທີ 20 ທັນວາຫາວັນທີ 27 ທັນວາ 2023, ໄດ້ມີການສືບສວນຢ່າງຮອບຄອບສຳລັບຈຸດອ່ອນດ້ານຄວາມປອດໄພຕ່າງໆ. ທີມງານຈາກ Viettel Cyber Security ໄດ້ປະຕິບັດການວິເຄາະຢ່າງເລິກເຊິ່ງ ແລະ ຊີ້ໃຫ້ເຫັນຫຼາຍຂົງເຂດເພື່ອປັບປຸງລະບົບຂອງພວກເຮົາ.
ຈຸດທີ່ສໍາຄັນ:
- ໄລຍະເວລາສອບເສັງ: ວັນທີ 20-27 ທັນວາ 2023
- ຂອບເຂດ: ການວິເຄາະຄວາມເລິກຂອງຈຸດອ່ອນດ້ານຄວາມປອດໄພທີ່ອາດເກີດຂຶ້ນ
- ຜົນໄດ້ຮັບ: AhaSlides ໄດ້ຜ່ານການທົດສອບຫຼັງຈາກແກ້ໄຂຈຸດອ່ອນທີ່ຖືກລະບຸ
- ຜົນກະທົບ: ການປັບປຸງຄວາມປອດໄພແລະຄວາມຫນ້າເຊື່ອຖືສໍາລັບຜູ້ໃຊ້ຂອງພວກເຮົາ
Pentest ຂອງ Viettel Security ແມ່ນຫຍັງ?
Pentest, ສັ້ນສໍາລັບ Penetration Test, ເປັນສິ່ງຈໍາເປັນແມ່ນການໂຈມຕີທາງອິນເຕີເນັດແບບຈໍາລອງໃນລະບົບຂອງທ່ານເພື່ອເປີດເຜີຍຂໍ້ບົກພ່ອງທີ່ສາມາດຂູດຮີດໄດ້. ໃນສະພາບການຂອງແອັບພລິເຄຊັນເວັບ, Pentest ແມ່ນການປະເມີນທີ່ຄົບຖ້ວນເພື່ອຊີ້ໃຫ້ເຫັນ, ວິເຄາະ, ແລະລາຍງານຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພພາຍໃນແອັບພລິເຄຊັນ. ຄິດວ່າມັນເປັນການທົດສອບຄວາມກົດດັນສໍາລັບການປ້ອງກັນລະບົບຂອງທ່ານ - ມັນສະແດງໃຫ້ເຫັນເຖິງບ່ອນທີ່ການລະເມີດອາດຈະເກີດຂື້ນ.
ດຳເນີນໂດຍບັນດານັກຊ່ຽວຊານທີ່ມີລະດູການຢູ່ Viettel Cyber Security, ເປັນໝາອັນດັບໜຶ່ງໃນຂົງເຂດຄວາມປອດໄພທາງອິນເຕີແນັດ, ການທົດສອບນີ້ແມ່ນສ່ວນໜຶ່ງຂອງຊຸດບໍລິການຮັກສາຄວາມປອດໄພທີ່ກວ້າງຂວາງ. ວິທີການທົດສອບ Greybox ທີ່ໃຊ້ໃນການປະເມີນຂອງພວກເຮົາລວມມີທັງການທົດສອບກ່ອງດຳ ແລະ ກ່ອງຂາວ. ຜູ້ທົດສອບມີ intel ບາງຢ່າງໃນການເຮັດວຽກພາຍໃນຂອງແພລະຕະຟອມຂອງພວກເຮົາ, ຫຼອກລວງການໂຈມຕີໂດຍແຮກເກີທີ່ມີການໂຕ້ຕອບບາງຢ່າງກັບລະບົບກ່ອນ.
ໂດຍການຂຸດຄົ້ນຢ່າງເປັນລະບົບຫຼາຍດ້ານຂອງໂຄງສ້າງພື້ນຖານເວັບຂອງພວກເຮົາ, ຈາກການຕັ້ງຄ່າເຊີບເວີທີ່ຜິດພາດ ແລະການຂຽນສະຄຣິບຂ້າມເວັບໄຊໄປຈົນເຖິງການພິສູດຢືນຢັນທີ່ແຕກຫັກ ແລະການເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ, Pentest ສະເໜີພາບຕົວຈິງຂອງໄພຂົ່ມຂູ່ທີ່ອາດເກີດຂຶ້ນ. ມັນຢ່າງລະອຽດ, ກວມເອົາ vectors ການໂຈມຕີຕ່າງໆ, ແລະດໍາເນີນການໃນສະພາບແວດລ້ອມທີ່ມີການຄວບຄຸມເພື່ອຮັບປະກັນບໍ່ມີອັນຕະລາຍທີ່ແທ້ຈິງຕໍ່ລະບົບທີ່ກ່ຽວຂ້ອງ.
ບົດລາຍງານສຸດທ້າຍບໍ່ພຽງແຕ່ກໍານົດຈຸດອ່ອນແຕ່ຍັງຈັດລໍາດັບຄວາມສໍາຄັນຂອງພວກເຂົາໂດຍຄວາມຮຸນແຮງແລະປະກອບມີຄໍາແນະນໍາສໍາລັບການແກ້ໄຂ. ການຜ່ານການທົດສອບແບບຄົບວົງຈອນ ແລະ ເຄັ່ງຄັດດັ່ງກ່າວຊີ້ໃຫ້ເຫັນເຖິງຄວາມເຂັ້ມແຂງຂອງຄວາມປອດໄພທາງໄຊເບີຂອງອົງກອນ ແລະ ເປັນສິ່ງກໍ່ສ້າງພື້ນຖານສໍາລັບຄວາມໄວ້ວາງໃຈໃນຍຸກດິຈິຕອນ.
ການກໍານົດຈຸດອ່ອນແລະການແກ້ໄຂ
ໃນລະຫວ່າງໄລຍະການທົດສອບ, ມີການພົບເຫັນຊ່ອງໂຫວ່ຫຼາຍອັນ, ຕັ້ງແຕ່ Cross-Site Scripting (XSS) ເຖິງບັນຫາການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກ (BAC). ເພື່ອໃຫ້ເປັນສະເພາະ, ການທົດສອບໄດ້ເປີດເຜີຍຊ່ອງໂຫວ່ເຊັ່ນ Stored XSS ໃນທົ່ວຫຼາຍລັກສະນະ, Insecure Direct Object References (IDOR) ໃນຟັງຊັນການລຶບການນໍາສະເຫນີ, ແລະການເພີ່ມສິດທິພິເສດໃນທົ່ວຫນ້າທີ່ຕ່າງໆ.
ທີມງານເຕັກໂນໂລຢີ AhaSlides, ຮ່ວມມືກັບ Viettel Cyber Security, ໄດ້ແກ້ໄຂທຸກບັນຫາທີ່ກໍານົດ. ມາດຕະການຕ່າງໆເຊັ່ນ: ການກັ່ນຕອງຂໍ້ມູນການປ້ອນຂໍ້ມູນ, ການເຂົ້າລະຫັດຂໍ້ມູນ, ການໃຊ້ຫົວຂໍ້ຕອບສະຫນອງທີ່ເຫມາະສົມ, ແລະການຮັບຮອງເອົານະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາ (CSP) ທີ່ເຂັ້ມແຂງໄດ້ຖືກປະຕິບັດເພື່ອຊຸກຍູ້ການປ້ອງກັນຂອງພວກເຮົາ.
AhaSlides ໄດ້ຜ່ານການທົດສອບເຈາະເລິກໂດຍ Viettel Security ຢ່າງສຳເລັດຜົນ
ທັງໃບສະໝັກຜູ້ສະເໜີແລະຜູ້ຊົມໄດ້ຜ່ານການທົດສອບເຈາະຈົງຢ່າງສຳເລັດຜົນໂດຍ Viettel Security. ການປະເມີນຢ່າງເຂັ້ມງວດນີ້ຊີ້ໃຫ້ເຫັນຄວາມມຸ່ງໝັ້ນຂອງພວກເຮົາຕໍ່ກັບການປະຕິບັດຄວາມປອດໄພທີ່ເຂັ້ມແຂງ ແລະການປົກປ້ອງຂໍ້ມູນຜູ້ໃຊ້.
ການທົດສອບ, ດໍາເນີນໃນເດືອນທັນວາ 2023, ໃຊ້ວິທີການ Greybox, ການຈໍາລອງສະຖານະການການໂຈມຕີໃນໂລກທີ່ແທ້ຈິງ. ບັນດາຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງ Viettel ໄດ້ຕີລາຄາຢ່າງລະອຽດຖີ່ຖ້ວນກ່ຽວກັບເວທີປາໄສຂອງພວກເຮົາກ່ຽວກັບບັນດາຈຸດອ່ອນ, ກຳນົດທິດປັບປຸງ.
ຊ່ອງໂຫວ່ທີ່ໄດ້ຮັບການແກ້ໄຂໄດ້ຮັບການແກ້ໄຂໂດຍທີມວິສະວະກອນ AhaSlides ຮ່ວມມືກັບ Viettel Security. ມາດຕະການທີ່ປະຕິບັດປະກອບມີການກັ່ນຕອງຂໍ້ມູນການປ້ອນຂໍ້ມູນ, ການເຂົ້າລະຫັດຂໍ້ມູນອອກ, ນະໂຍບາຍຄວາມປອດໄພເນື້ອໃນທີ່ເຂັ້ມແຂງ (CSP), ແລະຫົວຂໍ້ການຕອບສະຫນອງທີ່ເຫມາະສົມເພື່ອເສີມຂະຫຍາຍເວທີ.
AhaSlides ຍັງໄດ້ລົງທຶນໃນເຄື່ອງມືຕິດຕາມກວດກາແບບພິເສດສໍາລັບການກວດສອບແລະຕອບສະຫນອງໄພຂົ່ມຂູ່ໃນເວລາທີ່ແທ້ຈິງ. ນອກຈາກນັ້ນ, ໂປຣໂຕຄໍການຕອບໂຕ້ເຫດການຂອງພວກເຮົາໄດ້ຖືກປັບປຸງໃໝ່ເພື່ອຮັບປະກັນການດຳເນີນການທີ່ໄວ ແລະ ມີປະສິດທິພາບໃນກໍລະນີທີ່ມີການລະເມີດຄວາມປອດໄພ.
ເວທີທີ່ປອດໄພແລະປອດໄພ
ຜູ້ໃຊ້ສາມາດຫມັ້ນໃຈໄດ້ວ່າຂໍ້ມູນຂອງພວກເຂົາຖືກປົກປ້ອງແລະປະສົບການການໂຕ້ຕອບຂອງພວກເຂົາຍັງຄົງປອດໄພ. ດ້ວຍການປະເມີນຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງແລະການປັບປຸງຢ່າງຕໍ່ເນື່ອງ, ພວກເຮົາມຸ່ງຫມັ້ນທີ່ຈະສ້າງເວທີທີ່ເຊື່ອຖືໄດ້ແລະຄວາມປອດໄພສໍາລັບຜູ້ໃຊ້ຂອງພວກເຮົາ.
