हामी त्यो घोषणा गर्न उत्साहित छौं AhaSlides Viettel साइबर सुरक्षा द्वारा प्रशासित सबै-समावेश ग्रेबक्स पेन्टेस्ट acce गरेको छ। यस गहन सुरक्षा परीक्षाले हाम्रा दुई प्रमुख अनलाइन प्लेटफर्महरूलाई लक्षित गर्यो: प्रस्तुतकर्ता एप (presenter.ahaslides.com) र श्रोता एप (दर्शक.ahaslides.com).
डिसेम्बर 20 देखि डिसेम्बर 27, 2023 सम्म चलेको सुरक्षा परीक्षणमा विभिन्न सुरक्षा कमजोरीहरूका लागि सावधानीपूर्वक जाँचहरू समावेश थिए। Viettel साइबर सेक्युरिटीको टोलीले गहिरो-डाइभ विश्लेषण प्रदर्शन गर्यो र हाम्रो प्रणाली भित्र सुधारका लागि धेरै क्षेत्रहरूलाई फ्ल्याग गर्यो।
कुञ्जी बिन्दुहरू:
- परीक्षण अवधि: डिसेम्बर 20-27, 2023
- स्कोप: विभिन्न सम्भावित सुरक्षा कमजोरीहरूको गहन विश्लेषण
- परिणाम: AhaSlides पहिचान गरिएका कमजोरीहरूलाई सम्बोधन गरेपछि परीक्षा पास गरियो
- प्रभाव: हाम्रा प्रयोगकर्ताहरूको लागि परिष्कृत सुरक्षा र विश्वसनीयता
Viettel Security को Pentest के हो?
एक पेन्टेस्ट, प्रवेश परीक्षणको लागि छोटो, अनिवार्य रूपमा शोषणयोग्य बगहरू उजागर गर्नको लागि तपाईंको प्रणालीमा एक नक्कली साइबर आक्रमण हो। वेब एप्लिकेसनको सन्दर्भमा, पेन्टेस्ट भनेको एप्लिकेसन भित्रका सुरक्षा त्रुटिहरूलाई चिनाउन, विश्लेषण गर्न र रिपोर्ट गर्नको लागि एक विस्तृत मूल्याङ्कन हो। यसलाई तपाइँको प्रणालीको प्रतिरक्षाको लागि तनाव परीक्षणको रूपमा सोच्नुहोस् - यसले सम्भावित उल्लङ्घनहरू कहाँ हुन सक्छ भनेर देखाउँदछ।
साइबरसेक्युरिटी स्पेसको शीर्ष कुकुर, Viettel साइबर सुरक्षामा अनुभवी पेशेवरहरू द्वारा आयोजित, यो परीक्षण तिनीहरूको व्यापक सुरक्षा सेवा सुइटको अंश हो। हाम्रो मूल्याङ्कनमा प्रयोग गरिएको ग्रेबक्स परीक्षण विधिले ब्ल्याक बक्स र सेतो बक्स परीक्षण दुवै पक्षहरू समावेश गर्दछ। परीक्षकहरूसँग हाम्रो प्लेटफर्मको आन्तरिक कार्यमा केही इंटेल हुन्छ, जसले प्रणालीसँग केही पूर्व अन्तरक्रिया गरेको ह्याकरले गरेको आक्रमणको नक्कल गर्दछ।
सर्भर गलत कन्फिगरेसनहरू र क्रस-साइट स्क्रिप्टिङदेखि टुटेको प्रमाणीकरण र संवेदनशील डेटा एक्सपोजरसम्म, हाम्रो वेब पूर्वाधारका विभिन्न पक्षहरूलाई व्यवस्थित रूपमा शोषण गरेर, पेन्टेस्टले सम्भावित खतराहरूको यथार्थपरक चित्र प्रदान गर्दछ। यो पूर्ण रूपमा, विभिन्न आक्रमण भेक्टरहरू समावेश गर्दछ, र संलग्न प्रणालीहरूलाई कुनै वास्तविक हानि सुनिश्चित गर्न नियन्त्रित वातावरणमा सञ्चालन गरिन्छ।
अन्तिम प्रतिवेदनले कमजोरीहरूको पहिचान मात्र गर्दैन तर तिनलाई गम्भीरताका आधारमा प्राथमिकतामा राखेर समाधान गर्नका लागि सिफारिसहरू समावेश गर्दछ। यस्तो व्यापक र कठोर परीक्षा पास गर्नुले संगठनको साइबर सुरक्षाको बललाई रेखांकित गर्दछ र डिजिटल युगमा विश्वासको लागि आधारभूत निर्माण ब्लक हो।
पहिचान गरिएका कमजोरी र समाधानहरू
परीक्षण चरणको दौडान, क्रस-साइट स्क्रिप्टिङ (XSS) देखि ब्रोकन एक्सेस कन्ट्रोल (BAC) मुद्दाहरू सम्मका धेरै कमजोरीहरू फेला परे। विशिष्ट हुनको लागि, परीक्षणले धेरै सुविधाहरूमा भण्डार गरिएको XSS, प्रस्तुतीकरण मेटाउने प्रकार्यमा असुरक्षित प्रत्यक्ष वस्तु सन्दर्भहरू (IDOR), र विभिन्न प्रकार्यहरूमा विशेषाधिकार वृद्धि जस्ता कमजोरीहरू उजागर गर्यो।
यो AhaSlides टेक टोली, भिएटेल साइबर सुरक्षासँग हात मिलाएर काम गर्दै, सबै पहिचान गरिएका मुद्दाहरूलाई सम्बोधन गरेको छ। इनपुट डेटा फिल्टरिङ, डाटा आउटपुट एन्कोडिङ, उपयुक्त प्रतिक्रिया हेडरहरूको प्रयोग, र एक बलियो सामग्री सुरक्षा नीति (CSP) को अपनाउने जस्ता उपायहरू हाम्रो सुरक्षालाई बलियो बनाउन लागू गरिएको छ।
AhaSlides Viettel सुरक्षा द्वारा सफलतापूर्वक प्रवेश परीक्षा पास
दुबै प्रस्तुतकर्ता र श्रोता अनुप्रयोगहरूले Viettel सुरक्षा द्वारा आयोजित एक व्यापक प्रवेश परीक्षण सफलतापूर्वक पास गरेका छन्। यो कठोर मूल्याङ्कनले बलियो सुरक्षा अभ्यासहरू र प्रयोगकर्ता डेटा सुरक्षाको लागि हाम्रो प्रतिबद्धतालाई जोड दिन्छ।
डिसेम्बर 2023 मा गरिएको परीक्षणले वास्तविक-विश्व आक्रमण परिदृश्यको नक्कल गर्दै ग्रेबक्स विधि प्रयोग गर्यो। Viettel का सुरक्षा विशेषज्ञहरूले हाम्रो प्लेटफर्मको कमजोरीहरूको लागि सावधानीपूर्वक मूल्याङ्कन गरे, सुधारका लागि क्षेत्रहरू पहिचान गरे।
द्वारा पहिचान गरिएका कमजोरीहरूलाई सम्बोधन गरिएको थियो AhaSlides Viettel सुरक्षा संग सहयोग मा ईन्जिनियरिङ् टोली। लागू गरिएका उपायहरूमा इनपुट डेटा फिल्टरिङ, आउटपुट डाटा एन्कोडिङ, बलियो सामग्री सुरक्षा नीति (CSP), र प्लेटफर्मलाई थप सुदृढ पार्न उपयुक्त प्रतिक्रिया हेडरहरू समावेश छन्।
AhaSlides वास्तविक-समय खतरा पत्ता लगाउन र प्रतिक्रियाको लागि उन्नत निगरानी उपकरणहरूमा पनि लगानी गरेको छ। थप रूपमा, हाम्रो घटना प्रतिक्रिया प्रोटोकलहरू सुरक्षा उल्लङ्घनको मामलामा द्रुत र प्रभावकारी कार्य सुनिश्चित गर्न परिष्कृत गरिएको छ।
एक सुरक्षित र सुरक्षित प्लेटफर्म
प्रयोगकर्ताहरू विश्वस्त हुन सक्छन् कि तिनीहरूको डेटा सुरक्षित छ र तिनीहरूको अन्तरक्रियात्मक अनुभवहरू सुरक्षित छन्। निरन्तर सुरक्षा मूल्याङ्कन र निरन्तर सुधारको साथ, हामी हाम्रा प्रयोगकर्ताहरूका लागि भरपर्दो र सुरक्षित प्लेटफर्म निर्माण गर्न प्रतिबद्ध छौं।