Mēs esam priecīgi par to paziņot AhaSlides ir uzvarējis visaptverošo Greybox Pentest, ko administrē Viettel Cyber Security. Šīs padziļinātās drošības pārbaudes mērķis bija mūsu divas galvenās tiešsaistes platformas: lietotne Presenter (prezentētājs.ahaslides.com) un lietotni Mērķauditorija (auditorija.ahaslides.com).
Drošības pārbaude, kas ilga no 20. gada 27. decembra līdz 2023. decembrim, ietvēra rūpīgu dažādu drošības trūkumu pārbaudi. Viettel Cyber Security komanda veica padziļinātu analīzi un atzīmēja vairākas jomas, kuras mūsu sistēmā jāuzlabo.
Galvenie punkti:
- Pārbaudes periods: 20. gada 27.–2023. decembris
- Darbības joma: dažādu iespējamo drošības trūkumu padziļināta analīze
- Rezultāts: AhaSlides izturēja pārbaudi pēc identificēto ievainojamību novēršanas
- Ietekme: uzlabota mūsu lietotāju drošība un uzticamība
Kas ir Viettel Security Pentest?
Pentest, saīsinājums no Penetration Test, būtībā ir viltots kiberuzbrukums jūsu sistēmai, lai atklātu izmantojamās kļūdas. Tīmekļa lietojumprogrammu kontekstā Pentest ir izsmeļošs novērtējums, lai precīzi noteiktu, analizētu un ziņotu par lietojumprogrammas drošības trūkumiem. Uztveriet to kā savas sistēmas aizsardzības noturības testu — tas parāda, kur var rasties iespējamie pārkāpumi.
Šis tests, ko veica Viettel Cyber Security pieredzējuši profesionāļi, kas ir viens no labākajiem kiberdrošības telpas suņiem, ir daļa no viņu plašā drošības pakalpojumu komplekta. Mūsu novērtējumā izmantotā Greybox testēšanas metodoloģija ietver gan melnās kastes, gan baltās kastes testēšanas aspektus. Testētājiem ir zināma informācija par mūsu platformas iekšējo darbību, atdarinot hakeru uzbrukumu, kuram ir kāda iepriekšēja mijiedarbība ar sistēmu.
Sistemātiski izmantojot dažādus mūsu tīmekļa infrastruktūras aspektus, sākot no nepareizas servera konfigurācijas un starpvietņu skriptēšanas līdz bojātai autentifikācijai un sensitīvu datu atklāšanai, Pentest piedāvā reālistisku priekšstatu par iespējamiem draudiem. Tas ir pamatīgs, ietver dažādus uzbrukuma vektorus, un tiek veikts kontrolētā vidē, lai nodrošinātu, ka iesaistītajām sistēmām netiek nodarīts reāls kaitējums.
Gala ziņojumā ir ne tikai identificētas ievainojamības, bet arī noteiktas to prioritātes pēc smaguma pakāpes un iekļauti ieteikumi to novēršanai. Šāda visaptveroša un stingra testa izturēšana uzsver organizācijas kiberdrošības spēku un ir būtisks uzticības pamats digitālajā laikmetā.
Identificētās nepilnības un labojumi
Testēšanas posmā tika atrastas vairākas ievainojamības, sākot no starpvietņu skriptēšanas (XSS) līdz bojātas piekļuves kontroles (BAC) problēmām. Precīzāk sakot, testā tika atklātas ievainojamības, piemēram, uzglabātais XSS vairākās funkcijās, nedrošas tiešās objektu atsauces (IDOR) prezentācijas dzēšanas funkcijā un privilēģiju eskalācija dažādās funkcijās.
Jūsu darbs IR Klientu apkalpošana AhaSlides tehnoloģiju komanda, kas strādā roku rokā ar Viettel Cyber Security, ir novērsusi visas identificētās problēmas. Lai stiprinātu mūsu aizsardzību, ir ieviesti tādi pasākumi kā ievades datu filtrēšana, datu izvades kodēšana, atbilstošu atbilžu galveņu izmantošana un stingras satura drošības politikas (CSP) pieņemšana.
AhaSlides Veiksmīgi nokārtojis Viettel Security iespiešanās testu
Gan Presenter, gan Audience lietojumprogrammas ir veiksmīgi izturējušas Viettel Security veikto visaptverošo iespiešanās testu. Šis stingrais novērtējums uzsver mūsu apņemšanos ievērot stingru drošības praksi un lietotāju datu aizsardzību.
Pārbaudē, kas tika veikta 2023. gada decembrī, tika izmantota Greybox metodoloģija, simulējot reālas pasaules uzbrukuma scenāriju. Viettel drošības eksperti rūpīgi izvērtēja mūsu platformas ievainojamības, identificējot jomas, kas jāuzlabo.
Konstatētās ievainojamības novērsa AhaSlides inženieru komanda sadarbībā ar Viettel Security. Īstenotie pasākumi ietver ievades datu filtrēšanu, izvaddatu kodēšanu, stabilu satura drošības politiku (CSP) un atbilstošas atbildes galvenes, lai vēl vairāk stiprinātu platformu.
AhaSlides ir arī ieguldījis progresīvos uzraudzības rīkos reāllaika draudu noteikšanai un reaģēšanai. Turklāt mūsu incidentu reaģēšanas protokoli ir pilnveidoti, lai nodrošinātu ātru un efektīvu rīcību drošības pārkāpuma gadījumā.
Droša un aizsargāta platforma
Lietotāji var būt pārliecināti, ka viņu dati ir aizsargāti un viņu interaktīvā pieredze joprojām ir droša. Ar nepārtrauktiem drošības novērtējumiem un nepārtrauktiem uzlabojumiem mēs esam apņēmušies izveidot uzticamu un drošu platformu saviem lietotājiem.