Бид үүнийг зарлаж байгаадаа баяртай байна AhaSlides нь Viettel Cyber Security-ийн удирддаг Greybox Pentest-ийг бүхэлд нь хамарсан. Энэхүү аюулгүй байдлын гүнзгий шалгалт нь манай хоёр тэргүүлэх онлайн платформ болох Presenter програмыг онилсон.presenter.ahaslides.com) болон Үзэгчдийн апп (auditoriya.ahaslides.com).
20 оны 27-р сарын 2023-ноос XNUMX-р сарын XNUMX-ны хооронд үргэлжилсэн аюулгүй байдлын туршилт нь янз бүрийн аюулгүй байдлын сул талуудыг сайтар шалгаж үзсэн. Viettel Cyber Security-ийн баг гүн гүнзгий дүн шинжилгээ хийж, манай системийн сайжруулах шаардлагатай хэд хэдэн хэсгийг тэмдэглэв.
Гол оноо:
- Туршилтын хугацаа: 20-27
- Хамрах хүрээ: Аюулгүй байдлын янз бүрийн боломжит сул талуудын гүнзгий дүн шинжилгээ
- Үр дүн: AhaSlides илэрсэн сул талуудыг арилгасны дараа шалгалтанд тэнцсэн
- Үр нөлөө: Манай хэрэглэгчдийн аюулгүй байдал, найдвартай байдлыг сайжруулсан
Viettel Security-ийн Pentest гэж юу вэ?
Pentest буюу нэвтрэлтийн тестийн товчлол нь үндсэндээ ашиглаж болох алдаануудыг илрүүлэхийн тулд таны системд хийсэн хуурамч кибер халдлага юм. Вэб програмын хувьд Pentest нь програмын аюулгүй байдлын дутагдлыг тодорхойлох, дүн шинжилгээ хийх, тайлагнах цогц үнэлгээ юм. Үүнийг таны системийн хамгаалалтад зориулсан стресс тест гэж бодоорой - энэ нь боломжит зөрчлүүд хаана тохиолдож болохыг харуулдаг.
Кибер аюулгүй байдлын салбарт тэргүүлэгч нохой болох Viettel Cyber Security-ийн туршлагатай мэргэжилтнүүдийн хийсэн энэхүү туршилт нь тэдний өргөн хүрээний хамгаалалтын үйлчилгээний багцын нэг хэсэг юм. Бидний үнэлгээнд ашигласан Greybox тестийн аргачлал нь хар хайрцаг болон цагаан хайрцгийн туршилтын аль алиныг нь багтаасан болно. Туршилтанд оролцогчид манай платформын дотоод үйл ажиллагааны талаар тодорхой мэдээлэлтэй байдаг бөгөөд энэ нь системтэй өмнө нь харьцаж байсан хакерын халдлагыг дуурайдаг.
Манай вэб дэд бүтцийн янз бүрийн талыг системтэйгээр ашигласнаар серверийн буруу тохиргоо, сайт хоорондын скриптээс эхлээд эвдэрсэн нэвтрэлт танилт, эмзэг өгөгдөлд өртөх хүртэл болзошгүй аюулын бодит дүр зургийг санал болгодог. Энэ нь маш нарийн бөгөөд янз бүрийн халдлагын векторуудыг багтаасан бөгөөд холбогдох системд бодит хохирол учруулахгүйн тулд хяналттай орчинд явагддаг.
Эцсийн тайлан нь зөвхөн эмзэг байдлыг тодорхойлохоос гадна тэдгээрийг ноцтойгоор нь эрэмбэлж, тэдгээрийг арилгах зөвлөмжийг багтаасан болно. Ийм цогц бөгөөд хатуу шалгуурыг давах нь тухайн байгууллагын кибер аюулгүй байдлын хүчийг онцолж, дижитал эрин зуунд итгэх итгэлийг бий болгох үндсэн материал болдог.
Тодорхойлсон сул тал ба засварууд
Туршилтын үе шатанд Cross-Site Scripting (XSS)-аас эхлээд Broken Access Control (BAC) зэрэг хэд хэдэн сул талууд илэрсэн. Тодруулж хэлбэл, туршилт нь олон функцэд Хадгалагдсан XSS, Үзүүлэн устгах функц дэх Аюулгүй шууд объектын лавлагаа (IDOR), төрөл бүрийн функцүүдийн давуу эрх нэмэгдүүлэх зэрэг сул талуудыг илрүүлсэн.
The AhaSlides Технологийн баг Viettel Cyber Security-тэй гар нийлэн ажиллаж, тодорхойлсон бүх асуудлыг шийдвэрлэсэн. Бидний хамгаалалтыг бэхжүүлэхийн тулд оролтын өгөгдлийг шүүх, өгөгдлийн гаралтын кодчилол, тохирох хариултын толгойг ашиглах, Агуулгын аюулгүй байдлын бат бөх бодлого (CSP) батлах зэрэг арга хэмжээг хэрэгжүүлсэн.
AhaSlides Viettel Security компанийн нэвтрэлтийн шалгалтыг амжилттай өгсөн
Илтгэгч болон Үзэгчдийн програмууд хоёулаа Viettel Security-ээс явуулсан нэвтрэлтийн иж бүрэн шалгалтыг амжилттай давлаа. Энэхүү нарийн үнэлгээ нь аюулгүй байдлын бат бөх туршлага, хэрэглэгчийн мэдээллийг хамгаалах бидний амлалтыг онцолж байна.
2023 оны XNUMX-р сард хийсэн туршилт нь бодит ертөнцийн халдлагын хувилбарыг загварчилсан Greybox аргачлалыг ашигласан. Viettel-ийн аюулгүй байдлын мэргэжилтнүүд манай платформыг эмзэг байдлын талаар нямбай үнэлж, сайжруулах шаардлагатай газруудыг тодорхойлсон.
Илэрсэн сул талуудыг зассан AhaSlides Viettel Security-тэй хамтран инженерийн баг. Хэрэгжүүлсэн арга хэмжээнүүдэд оролтын өгөгдлийн шүүлтүүр, гаралтын өгөгдлийн кодчилол, бат бөх Агуулгын аюулгүй байдлын бодлого (CSP) болон платформыг цаашид бэхжүүлэхийн тулд зохих хариу арга хэмжээ багтана.
AhaSlides Мөн бодит цагийн аюулыг илрүүлэх, хариу арга хэмжээ авахад зориулсан дэвшилтэт хяналтын хэрэгсэлд хөрөнгө оруулалт хийсэн. Нэмж дурдахад, аюулгүй байдлын зөрчлийн үед хурдан бөгөөд үр дүнтэй арга хэмжээ авахын тулд манай ослын хариу арга хэмжээний протоколуудыг боловсронгуй болгосон.
Аюулгүй, найдвартай платформ
Хэрэглэгчид өөрсдийн өгөгдөл хамгаалагдсан бөгөөд интерактив туршлага нь аюулгүй хэвээр байна гэдэгт итгэлтэй байж болно. Аюулгүй байдлын үнэлгээ, тасралтгүй сайжруулалтыг хийснээр бид хэрэглэгчиддээ найдвартай, аюулгүй платформыг бий болгохыг зорьж байна.