„AhaSlides“ išlaikė „Viettel Cyber ​​Security“ įsiskverbimo testą

Pranešimai

„AhaSlides“ komanda 30 rugpjūčio 2024 4 min perskaityti

ahaslidesas išlaikė prasiskverbimo testą

Džiaugiamės galėdami pranešti, kad „AhaSlides“ įveikė visa apimantį „Greybox Pentest“, kurį administruoja „Viettel Cyber ​​Security“. Šis išsamus saugumo tyrimas buvo skirtas dviem pavyzdinėms internetinėms platformoms: programai „Presenter“ (vedėjas.ahaslides.com) ir auditorijos programa (auditorija.ahaslides.com).

Saugumo testas, kuris vyko nuo 20 m. gruodžio 27 d. iki gruodžio 2023 d., apėmė kruopštų įvairių saugumo trūkumų tyrimą. Viettel Cyber ​​Security komanda atliko gilią analizę ir pažymėjo keletą mūsų sistemos tobulinimo sričių.

Pagrindiniai klausimai:

  • Bandomasis laikotarpis: 20 m. gruodžio 27–2023 d
  • Taikymo sritis: nuodugni įvairių galimų saugumo trūkumų analizė
  • Rezultatas: „AhaSlides“ išlaikė testą pašalinus nustatytas spragas
  • Poveikis: didesnis saugumas ir patikimumas mūsų vartotojams

Kas yra Viettel Security Pentest?

Pentestas, trumpinys iš prasiskverbimo testo, iš esmės yra netikra kibernetinė ataka jūsų sistemoje, siekiant atskleisti išnaudojamas klaidas. Žiniatinklio programų kontekste Pentest yra išsamus įvertinimas, skirtas nustatyti, analizuoti ir pranešti apie programos saugos trūkumus. Pagalvokite apie tai kaip apie savo sistemos apsaugos testą nepalankiausiomis sąlygomis – jis parodo, kur galimi pažeidimai.

Šis bandymas, kurį atliko patyrę Viettel Cyber ​​Security, geriausi kibernetinio saugumo šuo, profesionalai, yra jų plataus saugos paslaugų rinkinio dalis. Mūsų vertinime naudojama „Greybox“ testavimo metodika apima juodosios ir baltosios dėžės testavimo aspektus. Bandytojai turi tam tikrų žinių apie mūsų platformos vidinį veikimą, imituodami įsilaužėlio, kuris anksčiau sąveikauja su sistema, ataką.

Sistemingai išnaudodama įvairius mūsų žiniatinklio infrastruktūros aspektus, nuo netinkamos serverio konfigūracijos ir scenarijų įvairiose svetainėse iki sugadinto autentifikavimo ir neskelbtinų duomenų atskleidimo, „Pentest“ pateikia realų galimų grėsmių vaizdą. Jis yra kruopštus, apimantis įvairius atakos vektorius ir vykdomas kontroliuojamoje aplinkoje, siekiant užtikrinti, kad nebūtų padaryta realios žalos dalyvaujančioms sistemoms.

Galutinėje ataskaitoje ne tik nustatomi pažeidžiamumai, bet ir nustatomi jų prioritetai pagal sunkumą ir pateikiamos rekomendacijos, kaip jas taisyti. Tokio išsamaus ir griežto testo išlaikymas pabrėžia organizacijos kibernetinio saugumo stiprumą ir yra pagrindinis pasitikėjimo skaitmeniniame amžiuje pagrindas.

Nustatyti trūkumai ir pataisymai

Testavimo etapo metu buvo aptikta keletas pažeidžiamumų, pradedant kelių svetainių scenarijais (XSS) ir baigiant sugadintos prieigos kontrolės (BAC) problemomis. Tiksliau sakant, bandymas atskleidė pažeidžiamumą, pvz., saugomą XSS daugelyje funkcijų, nesaugių tiesioginių objektų nuorodų (IDOR) pristatymo ištrynimo funkcijoje ir privilegijų eskalavimą įvairiose funkcijose.

AhaSlides technologijų komanda, dirbdama kartu su Viettel Cyber ​​Security, išsprendė visas nustatytas problemas. Siekiant sustiprinti mūsų apsaugą, buvo įdiegtos tokios priemonės kaip įvesties duomenų filtravimas, duomenų išvesties kodavimas, tinkamų atsakymų antraščių naudojimas ir tvirtos turinio saugos politikos (CSP) priėmimas.

„AhaSlides“ sėkmingai išlaikė „Viettel Security“ įsiskverbimo testą

Tiek „Presenter“, tiek „Audience“ programos sėkmingai išlaikė išsamų „Viettel Security“ atliktą įsiskverbimo testą. Šis griežtas įvertinimas pabrėžia mūsų įsipareigojimą laikytis patikimos saugos praktikos ir vartotojų duomenų apsaugos.

2023 m. gruodžio mėn. atliktame bandyme buvo naudojama „Greybox“ metodika, imituojantis realaus pasaulio atakos scenarijų. Viettel saugumo ekspertai kruopščiai įvertino mūsų platformos pažeidžiamumą ir nustatė sritis, kurias reikia tobulinti.

Nustatytas spragas pašalino „AhaSlides“ inžinierių komanda, bendradarbiaudama su „Viettel Security“. Įdiegtos priemonės apima įvesties duomenų filtravimą, išvesties duomenų kodavimą, tvirtą turinio saugos politiką (CSP) ir atitinkamas atsakymų antraštes, kad dar labiau sustiprintų platformą.

„AhaSlides“ taip pat investavo į pažangias stebėjimo priemones, skirtas grėsmių aptikimui ir reagavimui realiuoju laiku. Be to, mūsų reagavimo į incidentus protokolai buvo patobulinti, siekiant užtikrinti greitus ir efektyvius veiksmus saugumo pažeidimo atveju.

Saugi ir apsaugota platforma

Vartotojai gali būti tikri, kad jų duomenys yra apsaugoti, o interaktyvi patirtis išlieka saugi. Vykdydami nuolatinius saugumo vertinimus ir nuolatinius tobulėjimus, esame įsipareigoję sukurti patikimą ir saugią platformą savo vartotojams.

Žymos:
„AhaSlides“ komanda

AhaSlides Team

Mėgstami 2 milijonų vartotojų visame pasaulyje, esame pedagogų, verslininkų ir technologijų entuziastų grupė, kuri siekia, kad jūsų pristatymai būtų ne tik informatyvūs, bet ir tikrai įsimintini.

Patarimai, kaip dalyvauti apklausose ir smulkmenose

naujienlaiškio žvaigždė
👏 Ačiū, kad užsiprenumeravote!

Daugiau iš „AhaSlides“

„AhaSlides“ 2022 m. – apibendrinkite mūsų naujausias funkcijas!

Pranešimai

„AhaSlides“ 2022 m. – apibendrinkite mūsų naujausias funkcijas!
AhaSlides Ukrainai

Pranešimai

AhaSlides Ukrainai
Hopin x AhaSlides: naujas bendradarbiavimas interaktyviems renginiams

Pranešimai

Hopin x AhaSlides: naujas bendradarbiavimas interaktyviems renginiams
„AhaSlides“ žmonės | Susipažinkite su Lawrence'u Haywoodu

Pranešimai

„AhaSlides“ žmonės | Susipažinkite su Lawrence'u Haywoodu
Visiškai naujas „AhaSlides“ prekės ženklas

Pranešimai

Visiškai naujas „AhaSlides“ prekės ženklas
NTU absolventai prisijungia ir dalyvauja regioninėje konferencijoje su „AhaSlides“.

Pranešimai

NTU absolventai prisijungia ir dalyvauja regioninėje konferencijoje su „AhaSlides“.
AhaSlides HR Tech Festival Asia 2024

Pranešimai

AhaSlides HR Tech Festival Asia 2024
„AhaSlides x Zoom“ integravimas: dinaminis duetas, kurio reikia smagiems interaktyviems pristatymams

Pranešimai

„AhaSlides x Zoom“ integravimas: dinaminis duetas, kurio reikia smagiems interaktyviems pristatymams