S nadšením to oznamujeme AhaSlides ovládol všeobjímajúci Greybox Pentest spravovaný Viettel Cyber Security. Táto hĺbková bezpečnostná skúška sa zamerala na naše dve hlavné online platformy: aplikáciu Presenter (presenter.ahaslides.com) a aplikáciu Publikum (audience.ahaslides.com).
Bezpečnostný test, ktorý prebiehal od 20. decembra do 27. decembra 2023, zahŕňal dôkladné skúmanie rôznych bezpečnostných slabín. Tím z Viettel Cyber Security vykonal hĺbkovú analýzu a označil niekoľko oblastí na zlepšenie v rámci nášho systému.
Kľúčové body:
- Skúšobné obdobie: 20. – 27. december 2023
- Rozsah: Hĺbková analýza rôznych potenciálnych bezpečnostných slabín
- Výsledok: AhaSlides prešiel testom po odstránení identifikovaných zraniteľností
- Vplyv: Vylepšená bezpečnosť a spoľahlivosť pre našich používateľov
Čo je Pentest Viettel Security?
Pentest, skratka pre Penetration Test, je v podstate falošný kybernetický útok na váš systém s cieľom odhaliť zneužiteľné chyby. V kontexte webových aplikácií je Pentest vyčerpávajúce hodnotenie na určenie, analýzu a správu o bezpečnostných chybách v aplikácii. Berte to ako záťažový test pre obranyschopnosť vášho systému – ukazuje, kde by mohlo dôjsť k potenciálnemu narušeniu.
Tento test, ktorý vykonali skúsení profesionáli z Viettel Cyber Security, špičkový pes v oblasti kybernetickej bezpečnosti, je súčasťou ich rozsiahleho balíka bezpečnostných služieb. Testovacia metodika Greybox použitá v našom hodnotení zahŕňa aspekty testovania čiernej skrinky aj bielej skrinky. Testeri majú nejaké informácie o internom fungovaní našej platformy, napodobňujúc útok hackera, ktorý už predtým interagoval so systémom.
Systematickým využívaním rôznych aspektov našej webovej infraštruktúry, od nesprávnej konfigurácie servera a skriptovania medzi stránkami až po nefunkčnú autentifikáciu a vystavenie citlivých údajov, Pentest ponúka reálny obraz o potenciálnych hrozbách. Je dôkladný, zahŕňa rôzne útočné vektory a prebieha v kontrolovanom prostredí, aby sa zaistilo, že nedôjde k žiadnemu skutočnému poškodeniu príslušných systémov.
Záverečná správa nielen identifikuje zraniteľné miesta, ale tiež ich uprednostňuje podľa závažnosti a obsahuje odporúčania na ich odstránenie. Absolvovanie takéhoto komplexného a prísneho testu podčiarkuje silu kybernetickej bezpečnosti organizácie a je základným stavebným kameňom dôvery v digitálnom veku.
Identifikované slabé stránky a opravy
Počas testovacej fázy sa našlo niekoľko zraniteľností, od Cross-Site Scripting (XSS) až po problémy s Broken Access Control (BAC). Aby sme boli konkrétni, test odhalil zraniteľné miesta, ako je uložený XSS vo viacerých funkciách, nezabezpečené priame objektové referencie (IDOR) vo funkcii odstránenia prezentácie a eskalácia privilégií naprieč rôznymi funkciami.
AhaSlides technický tím, pracujúci ruka v ruke s Viettel Cyber Security, riešil všetky identifikované problémy. Na posilnenie našej obrany boli implementované opatrenia, ako je filtrovanie vstupných údajov, kódovanie výstupných údajov, použitie vhodných hlavičiek odpovedí a prijatie robustnej politiky zabezpečenia obsahu (CSP).
AhaSlides Úspešne prešiel penetračným testom spoločnosti Viettel Security
Aplikácie Presenter aj Audience úspešne prešli komplexným penetračným testom, ktorý vykonala Viettel Security. Toto prísne hodnotenie podčiarkuje náš záväzok k robustným bezpečnostným postupom a ochrane údajov používateľov.
Test, ktorý sa uskutočnil v decembri 2023, využíval metodiku Greybox, simulujúcu scenár útoku v reálnom svete. Bezpečnostní experti spoločnosti Viettel starostlivo vyhodnotili našu platformu z hľadiska zraniteľností a identifikovali oblasti, ktoré je potrebné zlepšiť.
Zistené zraniteľnosti riešil AhaSlides inžiniersky tím v spolupráci s Viettel Security. Medzi implementované opatrenia patrí filtrovanie vstupných údajov, kódovanie výstupných údajov, robustná politika zabezpečenia obsahu (CSP) a vhodné hlavičky odpovedí na ďalšie posilnenie platformy.
AhaSlides investovala aj do pokročilých monitorovacích nástrojov na detekciu hrozieb a reakciu v reálnom čase. Okrem toho boli naše protokoly reakcie na incidenty vylepšené, aby zabezpečili rýchle a účinné opatrenia v prípade narušenia bezpečnosti.
Bezpečná a zabezpečená platforma
Používatelia si môžu byť istí, že ich údaje sú chránené a ich interaktívne prostredie zostane bezpečné. S neustálym hodnotením bezpečnosti a neustálym zlepšovaním sa zaviazali vybudovať spoľahlivú a bezpečnú platformu pre našich používateľov.