Faly izahay manambara izany AhaSlides dia nahazo ny Greybox Pentest izay tantanan'ny Viettel Cyber Security. Ity fanadinana fiarovana lalina ity dia nikendry ireo sehatra an-tserasera roa lehibe indrindra: ny fampiharana Presenter (presenter.ahaslides.com) ary ny app Audience (audience.ahaslides.com).
Ny fitsapana fiarovana, izay nanomboka ny 20 Desambra ka hatramin'ny 27 Desambra 2023, dia nahitana fanadihadiana lalina momba ny fahalemen'ny fiarovana isan-karazany. Ny ekipa avy amin'ny Viettel Cyber Security dia nanao famakafakana lalina ary nanamarika faritra maromaro ho fanatsarana ao anatin'ny rafitray.
Key Points:
- Vanim-potoana fitsapana: 20-27 Desambra 2023
- Vahaolana: Famakafakana lalina momba ny fahalemen'ny fiarovana isan-karazany
- Result: AhaSlides nandalo ny fitsapana taorian'ny fiatrehana ireo fahalemena fantatra
- Fiantraikany: Fiarovana sy fahatokisana nohatsaraina ho an'ireo mpampiasa anay
Inona ny Viettel Security's Pentest?
Ny Pentest, fanafohezana ny Fitsapana Penetration, dia fanafihana an-tserasera maneso amin'ny rafitrao mba hahitana ireo bibikely azo trandrahana. Ao anatin'ny tontolon'ny rindranasa an-tranonkala, ny Pentest dia fanombanana feno mba hamaritana, hamakafaka ary hitaterana ny lesoka fiarovana ao anatin'ny fampiharana iray. Eritrereto ho fitsapana adin-tsaina ho an'ny fiarovana ny rafitrao izy io - mampiseho ny mety hisian'ny fanitsakitsahana.
Notarihin'ireo matihanina efa za-draharaha ao amin'ny Viettel Cyber Security, alika ambony amin'ny sehatry ny cybersecurity, ity fitsapana ity dia ampahany amin'ny serivisy serivisy fiarovana. Ny fomba fitiliana Greybox ampiasaina amin'ny fanombanana dia ahitana ny lafiny amin'ny fitsapana boaty mainty sy fotsy. Ny mpanandrana dia manana intelo amin'ny fiasan'ny sehatra anatiny, maka tahaka ny fanafihan'ny mpijirika izay manana fifandraisana taloha amin'ny rafitra.
Amin'ny alàlan'ny fanararaotam-pahefana amin'ny lafiny samihafa amin'ny fotodrafitrasa tranonkalantsika, manomboka amin'ny fanodinkodinan'ny mpizara sy ny fanoratana amin'ny tranonkala mankany amin'ny fanamarinana tapaka sy ny fampitana angon-drakitra saro-pady, ny Pentest dia manolotra sary tena misy ny mety ho fandrahonana. Izy io dia feno, ahitana vectors fanafihana isan-karazany, ary atao amin'ny tontolo voafehy mba hahazoana antoka fa tsy hisy fiantraikany amin'ny rafitra voakasik'izany.
Ny tatitra farany dia tsy mamaritra ny fahalemena fotsiny fa mametraka azy ireo ho laharam-pahamehana amin'ny hamafin'ny ary misy tolo-kevitra amin'ny fanamboarana azy ireo. Ny fandalovan'ny fitsapana feno sy henjana toy izany dia manasongadina ny tanjaky ny fiarovana an-tserasera an'ny fikambanana iray ary singa fototra ho an'ny fitokisana amin'ny vanim-potoana nomerika.
Fantatra ny fahalemena sy ny fanamboarana
Nandritra ny fotoam-panadinana dia nahitana vulnerabilities maromaro, manomboka amin'ny Cross-Site Scripting (XSS) ka hatramin'ny olana Broken Access Control (BAC). Raha ny tena manokana, ny fitsapana dia nahitana ny fahalemena toy ny Stored XSS amin'ny endri-javatra maro, Insecure Direct Object References (IDOR) ao amin'ny famafana ny Fampisehoana, ary ny Fisondrotry ny Privilege amin'ny fiasa isan-karazany.
The AhaSlides Ny ekipan'ny teknolojia, miara-miasa amin'ny Viettel Cyber Security, dia namaha ny olana rehetra fantatra. Ny fepetra toy ny fanivanana angon-drakitra fampidirana, fakan-doko mivoaka amin'ny angona, fampiasana lohapejy valin-kafatra mifanaraka amin'izany, ary ny fametrahana Politika fiarovana amin'ny votoaty (CSP) matanjaka dia nampiharina mba hanamafisana ny fiarovantsika.
AhaSlides Nahomby tamin'ny Fitsapana Fidirana nataon'ny Viettel Security
Na ny fampiharana Presenter sy Audience dia samy nandalo tamim-pahombiazana ny fitsapana fidirana feno notarihan'ny Viettel Security. Ity fanombanana henjana ity dia manasongadina ny fanoloran-tenantsika amin'ny fomba fiarovana matanjaka sy fiarovana ny angona mpampiasa.
Ny andrana, natao tamin'ny Desambra 2023, dia nampiasa fomba fiasa Greybox, nanahaka ny toe-javatra fanafihana eran-tany. Ny manam-pahaizana momba ny fiarovana an'i Viettel dia nandinika tamim-pitandremana ny sehatray momba ny fahalemena, hamantatra ireo faritra tokony hohatsaraina.
Ny vulnerabilité fantatra dia nokarakarain'ny AhaSlides ekipa injeniera miaraka amin'ny Viettel Security. Ny fepetra nampiharina dia ahitana ny fanivanana angon-drakitra, ny fandrafetana angon-drakitra mivoaka, ny Politika fiarovana amin'ny atiny (CSP) matanjaka, ary ny lohatenin'ny valiny mifanaraka amin'izany mba hanamafisana kokoa ny sehatra.
AhaSlides dia nampiasa fitaovana fanaraha-maso avo lenta ihany koa ho an'ny fitiliana sy famaliana fandrahonana amin'ny fotoana tena izy. Fanampin'izay, nohavaozina ny protocols momba ny famaliana ny zava-nitranga mba hiantohana ny hetsika haingana sy mahomby raha misy fanitsakitsahana ny fiarovana.
Sehatra azo antoka sy azo antoka
Afaka matoky ny mpampiasa fa voaaro ny angon-dry zareo ary mijanona ho azo antoka ny traikefan'izy ireo mifampiraharaha. Miaraka amin'ny fanombanana fiarovana mitohy sy fanatsarana mitohy, dia manolo-tena hanangana sehatra azo antoka sy azo antoka ho an'ireo mpampiasa anay izahay.