Z przyjemnością informujemy o tym AhaSlides zdał wszechstronny test Greybox Pentest administrowany przez Viettel Cyber Security. To dogłębne badanie bezpieczeństwa objęło nasze dwie flagowe platformy internetowe: aplikację Presenter (presenter.ahaslides.com) i aplikację Odbiorcy (publiczność.ahaslides.com).
Test bezpieczeństwa, który trwał od 20 do 27 grudnia 2023 r., polegał na skrupulatnym badaniu pod kątem różnych słabych punktów bezpieczeństwa. Zespół z Viettel Cyber Security przeprowadził dogłębną analizę i wskazał kilka obszarów wymagających ulepszenia w naszym systemie.
Kluczowe punkty:
- Okres testowy: 20–27 grudnia 2023 r
- Zakres: Dogłębna analiza różnych potencjalnych słabych punktów bezpieczeństwa
- Wynik: AhaSlides przeszedł test po usunięciu zidentyfikowanych luk
- Wpływ: zwiększone bezpieczeństwo i niezawodność dla naszych użytkowników
Co to jest Pentest firmy Viettel Security?
Pentest, skrót od Penetration Test, to w istocie pozorowany cyberatak na Twój system mający na celu wykrycie możliwych do wykorzystania błędów. W kontekście aplikacji internetowych Pentest to wyczerpująca ocena mająca na celu wykrycie, przeanalizowanie i złożenie raportu na temat luk w zabezpieczeniach aplikacji. Potraktuj to jako test warunków skrajnych dla zabezpieczeń systemu — pokazuje, gdzie mogą wystąpić potencjalne naruszenia.
Test ten, przeprowadzony przez doświadczonych specjalistów z firmy Viettel Cyber Security, czołowej firmy w dziedzinie cyberbezpieczeństwa, stanowi część obszernego pakietu usług bezpieczeństwa. Metodologia testowania Greybox zastosowana w naszej ocenie obejmuje aspekty testowania zarówno czarnej, jak i białej skrzynki. Testerzy mają pewne informacje na temat wewnętrznego działania naszej platformy, co naśladuje atak hakera, który miał wcześniejszą interakcję z systemem.
Systematycznie wykorzystując różne aspekty naszej infrastruktury internetowej, od błędnej konfiguracji serwerów i skryptów krzyżowych po zepsute uwierzytelnianie i ujawnienie wrażliwych danych, Pentest oferuje realistyczny obraz potencjalnych zagrożeń. Jest dokładny, obejmuje różne wektory ataku i jest przeprowadzany w kontrolowanym środowisku, aby nie wyrządzić realnych szkód zaangażowanym systemom.
Raport końcowy nie tylko identyfikuje luki, ale także ustala ich priorytety według ważności i zawiera zalecenia dotyczące ich usunięcia. Zdanie tak wszechstronnego i rygorystycznego testu podkreśla siłę cyberbezpieczeństwa organizacji i stanowi podstawowy element budowania zaufania w epoce cyfrowej.
Zidentyfikowane słabe strony i poprawki
W fazie testowej wykryto kilka luk w zabezpieczeniach, począwszy od skryptów krzyżowych (XSS) po problemy z uszkodzoną kontrolą dostępu (BAC). Mówiąc konkretnie, test ujawnił luki w zabezpieczeniach, takie jak Stored XSS w wielu funkcjach, Insecure Direct Object References (IDOR) w funkcji usuwania prezentacji oraz Eskalacja uprawnień w różnych funkcjonalnościach.
Opona AhaSlides zespół techniczny, współpracujący z Viettel Cyber Security, zajął się wszystkimi zidentyfikowanymi problemami. Aby wzmocnić nasze zabezpieczenia, wdrożono takie środki, jak filtrowanie danych wejściowych, kodowanie danych wyjściowych, użycie odpowiednich nagłówków odpowiedzi i przyjęcie solidnej polityki bezpieczeństwa treści (CSP).
AhaSlides Pomyślnie przeszedł test penetracyjny przeprowadzony przez Viettel Security
Zarówno aplikacja Presenter, jak i Audience pomyślnie przeszły kompleksowy test penetracyjny przeprowadzony przez Viettel Security. Ta rygorystyczna ocena podkreśla nasze zaangażowanie w solidne praktyki bezpieczeństwa i ochronę danych użytkowników.
W teście przeprowadzonym w grudniu 2023 r. wykorzystano metodologię Greybox, symulującą rzeczywisty scenariusz ataku. Eksperci ds. bezpieczeństwa firmy Viettel szczegółowo ocenili naszą platformę pod kątem luk w zabezpieczeniach, identyfikując obszary wymagające poprawy.
Zidentyfikowane luki zostały naprawione przez AhaSlides zespół inżynieryjny we współpracy z Viettel Security. Wdrożone środki obejmują filtrowanie danych wejściowych, kodowanie danych wyjściowych, solidną politykę bezpieczeństwa treści (CSP) i odpowiednie nagłówki odpowiedzi w celu dalszego wzmocnienia platformy.
AhaSlides zainwestował również w zaawansowane narzędzia monitorujące do wykrywania i reagowania na zagrożenia w czasie rzeczywistym. Ponadto nasze protokoły reagowania na incydenty zostały udoskonalone, aby zapewnić szybkie i skuteczne działanie w przypadku naruszenia bezpieczeństwa.
Bezpieczna i zabezpieczona platforma
Użytkownicy mogą mieć pewność, że ich dane są chronione, a ich interaktywne doświadczenia pozostają bezpieczne. Dzięki ciągłym ocenom bezpieczeństwa i ciągłemu doskonaleniu jesteśmy zaangażowani w budowanie niezawodnej i bezpiecznej platformy dla naszych użytkowników.