Vi er glade for å kunngjøre det AhaSlides har tatt den altomfattende Greybox Pentest administrert av Viettel Cyber Security. Denne grundige sikkerhetsundersøkelsen var rettet mot våre to flaggskip online-plattformer: Presenter-appen (presenter.ahaslides.com) og Audience-appen (publikum.ahaslides.com).
Sikkerhetstesten, som gikk fra 20. desember til 27. desember 2023, innebar grundige undersøkelser for ulike sikkerhetssvakheter. Teamet fra Viettel Cyber Security utførte en dypdykksanalyse og flagget flere områder for forbedring i systemet vårt.
Viktige punkter:
- Testperiode: 20.–27. desember 2023
- Omfang: Dybdeanalyse av ulike potensielle sikkerhetssvakheter
- Resultat: AhaSlides besto testen etter å ha adressert identifiserte sårbarheter
- Effekt: Forbedret sikkerhet og pålitelighet for brukerne våre
Hva er Viettel Securitys Pentest?
En Pentest, forkortelse for Penetration Test, er egentlig et falskt nettangrep på systemet ditt for å avdekke utnyttbare feil. I sammenheng med nettapplikasjoner er en Pentest en uttømmende evaluering for å finne, analysere og rapportere om sikkerhetsmangler i en applikasjon. Tenk på det som en stresstest for systemets forsvar - den viser hvor potensielle brudd kan oppstå.
Gjennomført av erfarne fagfolk hos Viettel Cyber Security, en topphund i cybersikkerhetsområdet, er denne testen en del av deres omfattende sikkerhetstjenestepakke. Greybox-testmetoden som brukes i vår vurdering, inkluderer aspekter av både black box og white box testing. Testere har litt informasjon om den interne funksjonen til plattformen vår, og etterligner et angrep fra en hacker som har interaksjon med systemet tidligere.
Ved å systematisk utnytte ulike fasetter av nettinfrastrukturen vår, fra serverfeilkonfigurasjoner og skripting på tvers av nettsteder til ødelagt autentisering og eksponering av sensitive data, gir Pentest et realistisk bilde av potensielle trusler. Den er grundig, omfatter ulike angrepsvektorer, og utføres i et kontrollert miljø for å sikre at de involverte systemene ikke skades.
Den endelige rapporten identifiserer ikke bare sårbarhetene, men prioriterer dem også etter alvorlighetsgrad og inkluderer anbefalinger for å fikse dem. Å bestå en så omfattende og streng test understreker styrken til en organisasjons cybersikkerhet og er en grunnleggende byggestein for tillit i den digitale tidsalderen.
Identifiserte svakheter og rettelser
I løpet av testfasen ble det funnet flere sårbarheter, alt fra Cross-Site Scripting (XSS) til Broken Access Control (BAC) problemer. For å være spesifikk avdekket testen sårbarheter som Stored XSS på tvers av flere funksjoner, Insecure Direct Object References (IDOR) i Slettefunksjonen for presentasjoner og Privilege Escalation på tvers av ulike funksjoner.
De AhaSlides teknisk team, som jobber hånd i hånd med Viettel Cyber Security, har løst alle identifiserte problemer. Tiltak som inndatafiltrering, datautdatakoding, bruk av passende svarhoder og vedtakelse av en robust Content Security Policy (CSP) har blitt implementert for å styrke forsvaret vårt.
AhaSlides Bestått penetrasjonstesten av Viettel Security
Både presenter- og publikumsapplikasjonene har bestått en omfattende penetrasjonstest utført av Viettel Security. Denne strenge vurderingen understreker vår forpliktelse til robust sikkerhetspraksis og beskyttelse av brukerdata.
Testen, utført i desember 2023, brukte en Greybox-metodikk som simulerte et angrepsscenario i den virkelige verden. Viettels sikkerhetseksperter evaluerte plattformen vår omhyggelig for sårbarheter, og identifiserte områder for forbedring.
De identifiserte sårbarhetene ble adressert av AhaSlides ingeniørteam i samarbeid med Viettel Security. Iverksatte tiltak inkluderer filtrering av inndata, utdatakoding, en robust innholdssikkerhetspolicy (CSP) og passende svarhoder for å styrke plattformen ytterligere.
AhaSlides har også investert i avanserte overvåkingsverktøy for trusseldeteksjon og respons i sanntid. I tillegg har våre responsprotokoller for hendelser blitt forbedret for å sikre rask og effektiv handling i tilfelle et sikkerhetsbrudd.
En trygg og sikret plattform
Brukere kan være trygge på at dataene deres er beskyttet og at deres interaktive opplevelser forblir sikre. Med pågående sikkerhetsvurderinger og kontinuerlige forbedringer, er vi forpliktet til å bygge en pålitelig og sikker plattform for brukerne våre.