Temos o prazer de anunciar que AhaSlides foi aprovado no abrangente Greybox Pentest administrado pela Viettel Cyber Security. Este exame de segurança aprofundado teve como alvo nossas duas principais plataformas online: o aplicativo Presenter (apresentador.ahaslides.com) e o aplicativo Audience (audiência.ahaslides.com).
O teste de segurança, realizado de 20 a 27 de dezembro de 2023, envolveu uma investigação meticulosa de vários pontos fracos de segurança. A equipe da Viettel Cyber Security realizou uma análise aprofundada e sinalizou diversas áreas de melhoria em nosso sistema.
Pontos chave:
- Período de teste: 20 a 27 de dezembro de 2023
- Escopo: Análise aprofundada de vários possíveis pontos fracos de segurança
- Resultado: AhaSlides passou no teste após abordar as vulnerabilidades identificadas
- Impacto: Maior segurança e confiabilidade para nossos usuários
O que é o Pentest da Viettel Security?
Um Pentest, abreviação de Penetration Test, é essencialmente uma simulação de ataque cibernético ao seu sistema para descobrir bugs exploráveis. No contexto de aplicações web, um Pentest é uma avaliação exaustiva para identificar, analisar e relatar falhas de segurança em uma aplicação. Pense nisso como um teste de estresse para as defesas do seu sistema – ele mostra onde possíveis violações podem ocorrer.
Conduzido por profissionais experientes da Viettel Cyber Security, líder no setor de segurança cibernética, este teste faz parte de seu extenso conjunto de serviços de segurança. A metodologia de teste Greybox usada em nossa avaliação incorpora aspectos de teste de caixa preta e caixa branca. Os testadores têm algumas informações sobre o funcionamento interno de nossa plataforma, imitando um ataque de um hacker que teve alguma interação anterior com o sistema.
Ao explorar sistematicamente várias facetas da nossa infraestrutura web, desde configurações incorretas de servidores e scripts entre sites até autenticação quebrada e exposição de dados confidenciais, o Pentest oferece uma imagem realista de ameaças potenciais. É completo, abrange vários vetores de ataque e é conduzido em um ambiente controlado para garantir que não haja danos reais aos sistemas envolvidos.
O relatório final não apenas identifica as vulnerabilidades, mas também as prioriza por gravidade e inclui recomendações para corrigi-las. A aprovação num teste tão abrangente e rigoroso sublinha a força da segurança cibernética de uma organização e é um alicerce fundamental para a confiança na era digital.
Fraquezas e correções identificadas
Durante a fase de testes, diversas vulnerabilidades foram encontradas, desde problemas de Cross-Site Scripting (XSS) até problemas de Broken Access Control (BAC). Para ser mais específico, o teste descobriu vulnerabilidades como XSS armazenado em vários recursos, referências diretas de objetos inseguras (IDOR) na função de exclusão de apresentação e escalonamento de privilégios em várias funcionalidades.
A equipe de tecnologia AhaSlides, trabalhando lado a lado com a Viettel Cyber Security, abordou todos os problemas identificados. Medidas como filtragem de dados de entrada, codificação de saída de dados, uso de cabeçalhos de resposta apropriados e adoção de uma Política de Segurança de Conteúdo (CSP) robusta foram implementadas para reforçar nossas defesas.
AhaSlides passou com sucesso no teste de penetração da Viettel Security
Os aplicativos Presenter e Audience passaram com sucesso em um teste de penetração abrangente conduzido pela Viettel Security. Esta avaliação rigorosa sublinha o nosso compromisso com práticas robustas de segurança e proteção de dados dos utilizadores.
O teste, realizado em dezembro de 2023, empregou a metodologia Greybox, simulando um cenário de ataque do mundo real. Os especialistas em segurança da Viettel avaliaram meticulosamente a nossa plataforma em busca de vulnerabilidades, identificando áreas de melhoria.
As vulnerabilidades identificadas foram abordadas pela equipe de engenharia da AhaSlides em colaboração com a Viettel Security. As medidas implementadas incluem filtragem de dados de entrada, codificação de dados de saída, uma Política de Segurança de Conteúdo (CSP) robusta e cabeçalhos de resposta apropriados para fortalecer ainda mais a plataforma.
AhaSlides também investiu em ferramentas avançadas de monitoramento para detecção e resposta a ameaças em tempo real. Além disso, nossos protocolos de resposta a incidentes foram refinados para garantir ações rápidas e eficazes em caso de violação de segurança.
Uma plataforma segura e protegida
Os usuários podem ter certeza de que seus dados estão protegidos e que suas experiências interativas permanecem seguras. Com avaliações de segurança contínuas e melhorias contínuas, estamos comprometidos em construir uma plataforma confiável e segura para nossos usuários.
