Aħna ferħanin li nħabbru li AhaSlides laħaq il-Greybox Pentest li jinkludi kollox amministrat minn Viettel Cyber Security. Dan l-eżami ta’ sigurtà fil-fond immira liż-żewġ pjattaformi ewlenin tagħna online: l-app Presenter (presenter.ahaslides.com) u l-app Audience (audience.ahaslides.com).
It-test tas-sigurtà, li dam mill-20 ta’ Diċembru sas-27 ta’ Diċembru, 2023, involva stħarriġ metikoluż għal diversi dgħufijiet tas-sigurtà. It-tim minn Viettel Cyber Security wettaq analiżi profonda u indika diversi oqsma għal titjib fis-sistema tagħna.
Punti ewlenin:
- Perjodu tat-Test: 20-27 ta’ Diċembru, 2023
- Ambitu: Analiżi fil-fond ta 'diversi dgħufijiet potenzjali tas-sigurtà
- Riżultat: AhaSlides għadda mit-test wara li indirizza l-vulnerabbiltajiet identifikati
- Impatt: Sigurtà u affidabbiltà mtejba għall-utenti tagħna
X'inhu l-Pentest ta' Viettel Security?
A Pentest, qasir għal Penetration Test, huwa essenzjalment attakk ċibernetiku finta fuq is-sistema tiegħek biex tikxef bugs sfruttabbli. Fil-kuntest tal-applikazzjonijiet tal-web, Pentest huwa evalwazzjoni eżawrjenti biex tidentifika, tanalizza, u tirrapporta dwar id-difetti tas-sigurtà fi ħdan applikazzjoni. Aħseb fiha bħala test tal-istress għad-difiżi tas-sistema tiegħek - juri fejn jista' jseħħ ksur potenzjali.
Imwettaq mill-professjonisti imħawwar f'Viettel Cyber Security, kelb mill-aqwa fl-ispazju taċ-ċibersigurtà, dan it-test huwa parti mis-servizz estensiv tagħhom tas-sigurtà. Il-metodoloġija tal-ittestjar Greybox użata fil-valutazzjoni tagħna tinkorpora aspetti kemm tal-ittestjar tal-kaxxa s-sewda kif ukoll tal-kaxxa bajda. Dawk li jittestjaw għandhom xi tagħrif dwar il-ħidma interna tal-pjattaforma tagħna, li jimitaw attakk minn hacker li għandu xi interazzjoni minn qabel mas-sistema.
Billi tisfrutta b'mod sistematiku diversi aspetti tal-infrastruttura tal-web tagħna, minn konfigurazzjonijiet ħażin tas-server u scripting bejn is-siti għal awtentikazzjoni miksura u espożizzjoni ta 'dejta sensittiva, il-Pentest joffri stampa realistika ta' theddid potenzjali. Hija bir-reqqa, li tinkludi diversi vettori ta 'attakk, u titwettaq f'ambjent ikkontrollat biex tiżgura l-ebda ħsara reali lis-sistemi involuti.
Ir-rapport finali mhux biss jidentifika l-vulnerabbiltajiet iżda wkoll jagħtihom prijorità skont is-severità u jinkludi rakkomandazzjonijiet biex jiġu rranġati. Il-passaġġ ta' test komprensiv u rigoruż bħal dan jenfasizza s-saħħa taċ-ċibersigurtà ta' organizzazzjoni u huwa element fundamentali għall-fiduċja fl-era diġitali.
Nuqqasijiet u Soluzzjonijiet Identifikati
Matul il-fażi tal-ittestjar, instabu diversi vulnerabbiltajiet, li jvarjaw minn Cross-Site Scripting (XSS) għal kwistjonijiet ta' Kontroll tal-Aċċess Imkisser (BAC). Biex inkun speċifiku, it-test skopra vulnerabbiltajiet bħal Stored XSS f'diversi karatteristiċi, Insecure Direct Object References (IDOR) fil-funzjoni tat-tħassir tal-Preżentazzjoni, u Privilege Escalation f'diversi funzjonalitajiet.
It-tim tat-teknoloġija AhaSlides, li jaħdem id f'id ma' Viettel Cyber Security, indirizza l-kwistjonijiet identifikati kollha. Miżuri bħall-iffiltrar tad-dejta tal-input, il-kodifikazzjoni tal-ħruġ tad-dejta, l-użu ta’ headers ta’ rispons xierqa, u l-adozzjoni ta’ Politika ta’ Sigurtà tal-Kontenut (CSP) robusta ġew implimentati biex isaħħu d-difiżi tagħna.
AhaSlides Għadda b'suċċess mit-Test tal-Penetrazzjoni minn Viettel Security
Kemm l-applikazzjonijiet tal-Preżentatur kif ukoll tal-Udjenza għaddew b’suċċess minn test ta’ penetrazzjoni komprensiv imwettaq minn Viettel Security. Din il-valutazzjoni rigoruża tenfasizza l-impenn tagħna għal prattiki ta’ sigurtà robusti u protezzjoni tad-dejta tal-utenti.
It-test, li sar f'Diċembru 2023, uża metodoloġija Greybox, li jissimula xenarju ta' attakk fid-dinja reali. L-esperti tas-sigurtà ta 'Viettel evalwaw bir-reqqa l-pjattaforma tagħna għall-vulnerabbiltajiet, u identifikaw oqsma għal titjib.
Il-vulnerabbiltajiet identifikati ġew indirizzati mit-tim tal-inġinerija AhaSlides b'kollaborazzjoni ma' Viettel Security. Il-miżuri implimentati jinkludu filtrazzjoni tad-dejta tal-input, kodifikazzjoni tad-dejta tal-ħruġ, Politika ta' Sigurtà tal-Kontenut (CSP) robusta, u headers ta' rispons xierqa biex issaħħaħ aktar il-pjattaforma.
AhaSlides investiet ukoll f'għodod ta 'monitoraġġ avvanzati għal sejbien u rispons ta' theddid f'ħin reali. Barra minn hekk, il-protokolli ta’ rispons għall-inċidenti tagħna ġew irfinuti biex jiżguraw azzjoni rapida u effettiva f’każ ta’ ksur tas-sigurtà.
Pjattaforma Sikura u Sikura
L-utenti jistgħu jkunu kunfidenti li d-dejta tagħhom hija protetta u l-esperjenzi interattivi tagħhom jibqgħu siguri. B'valutazzjonijiet kontinwi tas-sigurtà u titjib kontinwu, aħna impenjati li nibnu pjattaforma affidabbli u sigura għall-utenti tagħna.
