AhaSlides ໄດ້​ຜ່ານ​ການ​ທົດ​ສອບ​ຄວາມ​ປອດ​ໄພ​ທາງ​ອິນ​ເຕີ​ເນັດ​ຂອງ Viettel

ອ່ານມ່ວນຊວນຫົວ

AhaSlides ທີມງານ 05 ທັນວາ, 2024 4 min ອ່ານ

ໃບ​ຢັ້ງ​ຢືນ​ການ​ທົດ​ສອບ viettel penetration ສໍາ​ລັບ ahaslides

ພວກເຮົາຕື່ນເຕັ້ນທີ່ຈະປະກາດເລື່ອງນັ້ນ AhaSlides ​ໄດ້​ເຂົ້າ​ຮ່ວມ​ກອງ​ປະຊຸມ Greybox Pentest ຮອບດ້ານ​ທີ່​ບໍລິຫານ​ໂດຍ Viettel Cyber ​​Security. ການກວດສອບຄວາມປອດໄພແບບເລິກເຊິ່ງນີ້ແນເປົ້າໃສ່ສອງແພລດຟອມອອນໄລນ໌ທີ່ໂດດເດັ່ນຂອງພວກເຮົາ: ແອັບ Presenter (presenter.ahaslides.com) ແລະ​ແອັບ​ຜູ້​ຊົມ (viewers.ahaslides.com).

ການ​ທົດ​ສອບ​ຄວາມ​ປອດ​ໄພ, ເຊິ່ງ​ໄດ້​ດຳ​ເນີນ​ໄປ​ແຕ່​ວັນ​ທີ 20 ທັນ​ວາ​ຫາ​ວັນ​ທີ 27 ທັນ​ວາ 2023, ໄດ້​ມີ​ການ​ສືບ​ສວນ​ຢ່າງ​ຮອບ​ຄອບ​ສຳ​ລັບ​ຈຸດ​ອ່ອນ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຕ່າງໆ. ທີມງານຈາກ Viettel Cyber ​​Security ໄດ້ປະຕິບັດການວິເຄາະຢ່າງເລິກເຊິ່ງ ແລະ ຊີ້ໃຫ້ເຫັນຫຼາຍຂົງເຂດເພື່ອປັບປຸງລະບົບຂອງພວກເຮົາ.

ຈຸດ​ທີ່​ສໍາ​ຄັນ:

  • ໄລຍະເວລາສອບເສັງ: ວັນທີ 20-27 ທັນວາ 2023
  • ຂອບເຂດ: ການວິເຄາະຄວາມເລິກຂອງຈຸດອ່ອນດ້ານຄວາມປອດໄພທີ່ອາດເກີດຂຶ້ນ
  • ຜົນໄດ້ຮັບ: AhaSlides ຜ່ານ​ການ​ທົດ​ສອບ​ຫຼັງ​ຈາກ​ການ​ແກ້​ໄຂ​ຈຸດ​ອ່ອນ​ທີ່​ລະ​ບຸ​ໄວ້​
  • ຜົນກະທົບ: ການປັບປຸງຄວາມປອດໄພແລະຄວາມຫນ້າເຊື່ອຖືສໍາລັບຜູ້ໃຊ້ຂອງພວກເຮົາ

Pentest ຂອງ Viettel Security ແມ່ນຫຍັງ?

Pentest, ສັ້ນສໍາລັບ Penetration Test, ເປັນສິ່ງຈໍາເປັນແມ່ນການໂຈມຕີທາງອິນເຕີເນັດແບບຈໍາລອງໃນລະບົບຂອງທ່ານເພື່ອເປີດເຜີຍຂໍ້ບົກພ່ອງທີ່ສາມາດຂູດຮີດໄດ້. ໃນສະພາບການຂອງແອັບພລິເຄຊັນເວັບ, Pentest ແມ່ນການປະເມີນທີ່ຄົບຖ້ວນເພື່ອຊີ້ໃຫ້ເຫັນ, ວິເຄາະ, ແລະລາຍງານຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພພາຍໃນແອັບພລິເຄຊັນ. ຄິດວ່າມັນເປັນການທົດສອບຄວາມກົດດັນສໍາລັບການປ້ອງກັນລະບົບຂອງທ່ານ - ມັນສະແດງໃຫ້ເຫັນເຖິງບ່ອນທີ່ການລະເມີດອາດຈະເກີດຂື້ນ.

ດຳ​ເນີນ​ໂດຍ​ບັນດາ​ນັກ​ຊ່ຽວຊານ​ທີ່​ມີ​ລະດູ​ການ​ຢູ່ Viettel Cyber ​​Security, ​ເປັນ​ໝາ​ອັນ​ດັບ​ໜຶ່ງ​ໃນ​ຂົງ​ເຂດ​ຄວາມ​ປອດ​ໄພ​ທາງ​ອິນ​ເຕີ​ແນັດ, ການ​ທົດ​ສອບ​ນີ້​ແມ່ນ​ສ່ວນ​ໜຶ່ງ​ຂອງ​ຊຸດ​ບໍລິການ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ທີ່​ກວ້າງຂວາງ. ວິທີການທົດສອບ Greybox ທີ່ໃຊ້ໃນການປະເມີນຂອງພວກເຮົາລວມມີທັງການທົດສອບກ່ອງດຳ ແລະ ກ່ອງຂາວ. ຜູ້ທົດສອບມີ intel ບາງຢ່າງໃນການເຮັດວຽກພາຍໃນຂອງແພລະຕະຟອມຂອງພວກເຮົາ, ຫຼອກລວງການໂຈມຕີໂດຍແຮກເກີທີ່ມີການໂຕ້ຕອບບາງຢ່າງກັບລະບົບກ່ອນ.

ໂດຍການຂຸດຄົ້ນຢ່າງເປັນລະບົບຫຼາຍດ້ານຂອງໂຄງສ້າງພື້ນຖານເວັບຂອງພວກເຮົາ, ຈາກການຕັ້ງຄ່າເຊີບເວີທີ່ຜິດພາດ ແລະການຂຽນສະຄຣິບຂ້າມເວັບໄຊໄປຈົນເຖິງການພິສູດຢືນຢັນທີ່ແຕກຫັກ ແລະການເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ, Pentest ສະເໜີພາບຕົວຈິງຂອງໄພຂົ່ມຂູ່ທີ່ອາດເກີດຂຶ້ນ. ມັນຢ່າງລະອຽດ, ກວມເອົາ vectors ການໂຈມຕີຕ່າງໆ, ແລະດໍາເນີນການໃນສະພາບແວດລ້ອມທີ່ມີການຄວບຄຸມເພື່ອຮັບປະກັນບໍ່ມີອັນຕະລາຍທີ່ແທ້ຈິງຕໍ່ລະບົບທີ່ກ່ຽວຂ້ອງ.

ບົດລາຍງານສຸດທ້າຍບໍ່ພຽງແຕ່ກໍານົດຈຸດອ່ອນແຕ່ຍັງຈັດລໍາດັບຄວາມສໍາຄັນຂອງພວກເຂົາໂດຍຄວາມຮຸນແຮງແລະປະກອບມີຄໍາແນະນໍາສໍາລັບການແກ້ໄຂ. ການຜ່ານການທົດສອບແບບຄົບວົງຈອນ ແລະ ເຄັ່ງຄັດດັ່ງກ່າວຊີ້ໃຫ້ເຫັນເຖິງຄວາມເຂັ້ມແຂງຂອງຄວາມປອດໄພທາງໄຊເບີຂອງອົງກອນ ແລະ ເປັນສິ່ງກໍ່ສ້າງພື້ນຖານສໍາລັບຄວາມໄວ້ວາງໃຈໃນຍຸກດິຈິຕອນ.

ການກໍານົດຈຸດອ່ອນແລະການແກ້ໄຂ

ໃນລະຫວ່າງໄລຍະການທົດສອບ, ມີການພົບເຫັນຊ່ອງໂຫວ່ຫຼາຍອັນ, ຕັ້ງແຕ່ Cross-Site Scripting (XSS) ເຖິງບັນຫາການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກ (BAC). ເພື່ອໃຫ້ເປັນສະເພາະ, ການທົດສອບໄດ້ເປີດເຜີຍຊ່ອງໂຫວ່ເຊັ່ນ Stored XSS ໃນທົ່ວຫຼາຍລັກສະນະ, Insecure Direct Object References (IDOR) ໃນຟັງຊັນການລຶບການນໍາສະເຫນີ, ແລະການເພີ່ມສິດທິພິເສດໃນທົ່ວຫນ້າທີ່ຕ່າງໆ.

ໄດ້ AhaSlides ທີມ​ງານ​ເຕັກ​ໂນ​ໂລ​ຊີ, ຮ່ວມ​ມື​ກັບ Viettel Cyber ​​Security ໄດ້​ແກ້​ໄຂ​ທຸກ​ບັນ​ຫາ. ມາດຕະການຕ່າງໆເຊັ່ນ: ການກັ່ນຕອງຂໍ້ມູນການປ້ອນຂໍ້ມູນ, ການເຂົ້າລະຫັດຂໍ້ມູນ, ການໃຊ້ຫົວຂໍ້ຕອບສະຫນອງທີ່ເຫມາະສົມ, ແລະການຮັບຮອງເອົານະໂຍບາຍຄວາມປອດໄພຂອງເນື້ອຫາ (CSP) ທີ່ເຂັ້ມແຂງໄດ້ຖືກປະຕິບັດເພື່ອຊຸກຍູ້ການປ້ອງກັນຂອງພວກເຮົາ.

AhaSlides ຜ່ານ​ການ​ທົດ​ສອບ​ເຈາະ​ຈີ້ມ​ໂດຍ Viettel Security ຢ່າງ​ສຳ​ເລັດ​ຜົນ

ທັງ​ໃບ​ສະ​ໝັກ​ຜູ້​ສະ​ເໜີ​ແລະ​ຜູ້​ຊົມ​ໄດ້​ຜ່ານ​ການ​ທົດ​ສອບ​ເຈາະ​ຈົງ​ຢ່າງ​ສຳ​ເລັດ​ຜົນ​ໂດຍ Viettel Security. ການປະເມີນຢ່າງເຂັ້ມງວດນີ້ຊີ້ໃຫ້ເຫັນຄວາມມຸ່ງໝັ້ນຂອງພວກເຮົາຕໍ່ກັບການປະຕິບັດຄວາມປອດໄພທີ່ເຂັ້ມແຂງ ແລະການປົກປ້ອງຂໍ້ມູນຜູ້ໃຊ້.

ການທົດສອບ, ດໍາເນີນໃນເດືອນທັນວາ 2023, ໃຊ້ວິທີການ Greybox, ການຈໍາລອງສະຖານະການການໂຈມຕີໃນໂລກທີ່ແທ້ຈິງ. ບັນດາ​ຜູ້​ຊ່ຽວຊານ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຂອງ Viettel ​ໄດ້​ຕີ​ລາຄາ​ຢ່າງ​ລະອຽດ​ຖີ່​ຖ້ວນ​ກ່ຽວ​ກັບ​ເວທີ​ປາ​ໄສ​ຂອງ​ພວກ​ເຮົາ​ກ່ຽວ​ກັບ​ບັນດາ​ຈຸດ​ອ່ອນ, ກຳນົດ​ທິດ​ປັບປຸງ.

ຊ່ອງ​ຫວ່າງ​ທີ່​ໄດ້​ຮັບ​ການ​ແກ້​ໄຂ​ໄດ້​ຮັບ​ການ​ແກ້​ໄຂ​ໂດຍ​ AhaSlides ຄະນະວິສະວະກຳສາດ ສົມທົບກັບ Viettel Security. ມາດ​ຕະ​ການ​ທີ່​ປະ​ຕິ​ບັດ​ປະ​ກອບ​ມີ​ການ​ກັ່ນ​ຕອງ​ຂໍ້​ມູນ​ການ​ປ້ອນ​ຂໍ້​ມູນ​, ການ​ເຂົ້າ​ລະ​ຫັດ​ຂໍ້​ມູນ​ອອກ​, ນະ​ໂຍ​ບາຍ​ຄວາມ​ປອດ​ໄພ​ເນື້ອ​ໃນ​ທີ່​ເຂັ້ມ​ແຂງ (CSP​)​, ແລະ​ຫົວ​ຂໍ້​ການ​ຕອບ​ສະ​ຫນອງ​ທີ່​ເຫມາະ​ສົມ​ເພື່ອ​ເສີມ​ຂະ​ຫຍາຍ​ເວ​ທີ​.

AhaSlides ຍັງໄດ້ລົງທຶນໃນເຄື່ອງມືຕິດຕາມກວດກາແບບພິເສດສໍາລັບການກວດສອບແລະຕອບສະຫນອງໄພຂົ່ມຂູ່ໃນເວລາທີ່ແທ້ຈິງ. ນອກຈາກນັ້ນ, ໂປຣໂຕຄໍການຕອບໂຕ້ເຫດການຂອງພວກເຮົາໄດ້ຖືກປັບປຸງໃໝ່ເພື່ອຮັບປະກັນການດຳເນີນການທີ່ໄວ ແລະ ມີປະສິດທິພາບໃນກໍລະນີທີ່ມີການລະເມີດຄວາມປອດໄພ.

ເວທີທີ່ປອດໄພແລະປອດໄພ

ຜູ້ໃຊ້ສາມາດຫມັ້ນໃຈໄດ້ວ່າຂໍ້ມູນຂອງພວກເຂົາຖືກປົກປ້ອງແລະປະສົບການການໂຕ້ຕອບຂອງພວກເຂົາຍັງຄົງປອດໄພ. ດ້ວຍການປະເມີນຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງແລະການປັບປຸງຢ່າງຕໍ່ເນື່ອງ, ພວກເຮົາມຸ່ງຫມັ້ນທີ່ຈະສ້າງເວທີທີ່ເຊື່ອຖືໄດ້ແລະຄວາມປອດໄພສໍາລັບຜູ້ໃຊ້ຂອງພວກເຮົາ.