Мы рады сообщить, что AhaSlides прошел всеобъемлющий Greybox Pentest, проводимый Viettel Cyber Security. Это углубленное исследование безопасности было нацелено на наши две флагманские онлайн-платформы: приложение Presenter (Presenter.ahaslides.com) и приложение «Аудитория» (Audience.ahaslides.com).
Тест безопасности, который проходил с 20 по 27 декабря 2023 года, включал в себя тщательное исследование различных слабых мест в системе безопасности. Команда Viettel Cyber Security провела глубокий анализ и отметила несколько областей, требующих улучшения в нашей системе.
Ключевые моменты:
- Тестовый период: 20–27 декабря 2023 г.
- Область применения: Углубленный анализ различных потенциальных недостатков безопасности.
- Результат: AhaSlides пройден тест после устранения выявленных уязвимостей
- Результат: повышенная безопасность и надежность для наших пользователей.
Что такое пентест Viettel Security?
Пентест, сокращение от «тест на проникновение», по сути, представляет собой имитацию кибератаки на вашу систему с целью выявления уязвимостей, которые можно использовать. В контексте веб-приложений пентест — это исчерпывающая оценка, позволяющая выявить, проанализировать и составить отчет о недостатках безопасности в приложении. Думайте об этом как о стресс-тесте защиты вашей системы — он показывает, где могут произойти потенциальные нарушения.
Этот тест, проводимый опытными профессионалами компании Viettel Cyber Security, лидера в области кибербезопасности, является частью их обширного пакета услуг по обеспечению безопасности. Методология тестирования «серого ящика», используемая в нашей оценке, включает в себя аспекты тестирования как «черного ящика», так и «белого ящика». У тестировщиков есть некоторая информация о внутренней работе нашей платформы, имитирующая атаку хакера, который предварительно взаимодействовал с системой.
Систематически используя различные аспекты нашей веб-инфраструктуры, от неправильных конфигураций серверов и межсайтовых сценариев до нарушенной аутентификации и раскрытия конфиденциальных данных, пентест предлагает реалистичную картину потенциальных угроз. Это тщательная проверка, охватывающая различные векторы атак и проводимая в контролируемой среде, чтобы гарантировать отсутствие реального вреда задействованным системам.
Итоговый отчет не только идентифицирует уязвимости, но также расставляет их по степени серьезности и включает рекомендации по их устранению. Прохождение такого всестороннего и строгого теста подчеркивает силу кибербезопасности организации и является фундаментальным строительным элементом доверия в эпоху цифровых технологий.
Выявленные слабые места и исправления
На этапе тестирования было обнаружено несколько уязвимостей, начиная от межсайтового скриптинга (XSS) и заканчивая нарушением контроля доступа (BAC). В частности, тест выявил такие уязвимости, как сохраненный XSS в нескольких функциях, небезопасные прямые ссылки на объекты (IDOR) в функции удаления презентации и повышение привилегий в различных функциях.
Команда AhaSlides Техническая группа, работающая рука об руку с Viettel Cyber Security, устранила все выявленные проблемы. Для усиления нашей защиты были реализованы такие меры, как фильтрация входных данных, кодирование выходных данных, использование соответствующих заголовков ответов и принятие надежной политики безопасности контента (CSP).
AhaSlides Успешно пройден тест на проникновение от Viettel Security
Приложения Presenter и Audience успешно прошли комплексный тест на проникновение, проведенный Viettel Security. Эта строгая оценка подчеркивает нашу приверженность надежным методам обеспечения безопасности и защиты пользовательских данных.
В тесте, проведенном в декабре 2023 года, использовалась методология Greybox, имитирующая реальный сценарий атаки. Эксперты по безопасности Viettel тщательно проверили нашу платформу на наличие уязвимостей и определили области, требующие улучшения.
Выявленные уязвимости были устранены AhaSlides инженерная группа в сотрудничестве с Viettel Security. Реализованные меры включают фильтрацию входных данных, кодирование выходных данных, надежную политику безопасности контента (CSP) и соответствующие заголовки ответов для дальнейшего укрепления платформы.
AhaSlides также инвестировала в передовые инструменты мониторинга для обнаружения угроз в реальном времени и реагирования на них. Кроме того, наши протоколы реагирования на инциденты были усовершенствованы для обеспечения быстрых и эффективных действий в случае нарушения безопасности.
Безопасная и защищенная платформа
Пользователи могут быть уверены, что их данные защищены, а их интерактивный опыт остается в безопасности. Благодаря постоянным оценкам безопасности и постоянному совершенствованию мы стремимся создать надежную и безопасную платформу для наших пользователей.
