AhaSlides Išlaikė Viettel kibernetinio saugumo įsiskverbimo testą

Pranešimai

AhaSlides Komanda 30 rugpjūčio 2024 4 min perskaityti

ahaslidesas išlaikė prasiskverbimo testą

Džiaugiamės galėdami tai pranešti AhaSlides įveikė viską apimantį „Greybox Pentest“, kurį administruoja „Viettel Cyber ​​Security“. Šis išsamus saugumo tyrimas buvo skirtas dviem pavyzdinėms internetinėms platformoms: programai „Presenter“ (vedėjas.ahaslides.com) ir auditorijos programa (auditorija.ahaslides.com).

Saugumo testas, kuris vyko nuo 20 m. gruodžio 27 d. iki gruodžio 2023 d., apėmė kruopštų įvairių saugumo trūkumų tyrimą. Viettel Cyber ​​Security komanda atliko gilią analizę ir pažymėjo keletą mūsų sistemos tobulinimo sričių.

Pagrindiniai klausimai:

  • Bandomasis laikotarpis: 20 m. gruodžio 27–2023 d
  • Taikymo sritis: nuodugni įvairių galimų saugumo trūkumų analizė
  • Rezultatas: AhaSlides išlaikė testą pašalinus nustatytas spragas
  • Poveikis: didesnis saugumas ir patikimumas mūsų vartotojams

Kas yra Viettel Security Pentest?

Pentestas, trumpinys iš prasiskverbimo testo, iš esmės yra netikra kibernetinė ataka jūsų sistemoje, siekiant atskleisti išnaudojamas klaidas. Žiniatinklio programų kontekste Pentest yra išsamus įvertinimas, skirtas nustatyti, analizuoti ir pranešti apie programos saugos trūkumus. Pagalvokite apie tai kaip apie savo sistemos apsaugos testą nepalankiausiomis sąlygomis – jis parodo, kur galimi pažeidimai.

Šis bandymas, kurį atliko patyrę Viettel Cyber ​​Security, geriausi kibernetinio saugumo šuo, profesionalai, yra jų plataus saugos paslaugų rinkinio dalis. Mūsų vertinime naudojama „Greybox“ testavimo metodika apima juodosios ir baltosios dėžės testavimo aspektus. Bandytojai turi tam tikrų žinių apie mūsų platformos vidinį veikimą, imituodami įsilaužėlio, kuris anksčiau sąveikauja su sistema, ataką.

Sistemingai išnaudodama įvairius mūsų žiniatinklio infrastruktūros aspektus, nuo netinkamos serverio konfigūracijos ir scenarijų įvairiose svetainėse iki sugadinto autentifikavimo ir neskelbtinų duomenų atskleidimo, „Pentest“ pateikia realų galimų grėsmių vaizdą. Jis yra kruopštus, apimantis įvairius atakos vektorius ir vykdomas kontroliuojamoje aplinkoje, siekiant užtikrinti, kad nebūtų padaryta realios žalos dalyvaujančioms sistemoms.

Galutinėje ataskaitoje ne tik nustatomi pažeidžiamumai, bet ir nustatomi jų prioritetai pagal sunkumą ir pateikiamos rekomendacijos, kaip jas taisyti. Tokio išsamaus ir griežto testo išlaikymas pabrėžia organizacijos kibernetinio saugumo stiprumą ir yra pagrindinis pasitikėjimo skaitmeniniame amžiuje pagrindas.

Nustatyti trūkumai ir pataisymai

Testavimo etapo metu buvo aptikta keletas pažeidžiamumų, pradedant kelių svetainių scenarijais (XSS) ir baigiant sugadintos prieigos kontrolės (BAC) problemomis. Tiksliau sakant, bandymas atskleidė pažeidžiamumą, pvz., saugomą XSS daugelyje funkcijų, nesaugių tiesioginių objektų nuorodų (IDOR) pristatymo ištrynimo funkcijoje ir privilegijų eskalavimą įvairiose funkcijose.

Geriausios AhaSlides technologijų komanda, bendradarbiaudama su Viettel Cyber ​​Security, išsprendė visas nustatytas problemas. Siekiant sustiprinti mūsų apsaugą, buvo įdiegtos tokios priemonės kaip įvesties duomenų filtravimas, duomenų išvesties kodavimas, tinkamų atsakymų antraščių naudojimas ir tvirtos turinio saugos politikos (CSP) priėmimas.

AhaSlides Sėkmingai išlaikė Viettel Security įsiskverbimo testą

Tiek „Presenter“, tiek „Audience“ programos sėkmingai išlaikė išsamų „Viettel Security“ atliktą įsiskverbimo testą. Šis griežtas įvertinimas pabrėžia mūsų įsipareigojimą laikytis patikimos saugos praktikos ir vartotojų duomenų apsaugos.

2023 m. gruodžio mėn. atliktame bandyme buvo naudojama „Greybox“ metodika, imituojantis realaus pasaulio atakos scenarijų. Viettel saugumo ekspertai kruopščiai įvertino mūsų platformos pažeidžiamumą ir nustatė sritis, kurias reikia tobulinti.

Nustatytas pažeidžiamumas buvo pašalintas AhaSlides inžinierių komanda bendradarbiaudama su Viettel Security. Įdiegtos priemonės apima įvesties duomenų filtravimą, išvesties duomenų kodavimą, tvirtą turinio saugos politiką (CSP) ir atitinkamas atsakymų antraštes, kad dar labiau sustiprintų platformą.

AhaSlides taip pat investavo į pažangias stebėjimo priemones, skirtas grėsmių aptikimui ir reagavimui realiuoju laiku. Be to, mūsų reagavimo į incidentus protokolai buvo patobulinti, siekiant užtikrinti greitus ir efektyvius veiksmus saugumo pažeidimo atveju.

Saugi ir apsaugota platforma

Vartotojai gali būti tikri, kad jų duomenys yra apsaugoti, o interaktyvi patirtis išlieka saugi. Vykdydami nuolatinius saugumo vertinimus ir nuolatinius tobulėjimus, esame įsipareigoję sukurti patikimą ir saugią platformą savo vartotojams.