Z veseljem to sporočamo AhaSlides je dosegel vseobsegajoč Pentest Greybox, ki ga upravlja Viettel Cyber Security. Ta poglobljeni varnostni pregled je bil namenjen našim dvema vodilnima spletnima platformama: aplikaciji Presenter (presenter.ahaslides.com) in aplikacijo Audience (publike.ahaslides.com).
Varnostni test, ki je potekal od 20. decembra do 27. decembra 2023, je vključeval natančno preiskovanje različnih varnostnih pomanjkljivosti. Ekipa podjetja Viettel Cyber Security je izvedla poglobljeno analizo in označila več področij za izboljšave v našem sistemu.
Ključne točke:
- Preizkusno obdobje: 20.–27. december 2023
- Področje uporabe: Poglobljena analiza različnih potencialnih varnostnih pomanjkljivosti
- Rezultat: AhaSlides opravil test po odpravljanju ugotovljenih ranljivosti
- Učinek: izboljšana varnost in zanesljivost za naše uporabnike
Kaj je Pentest podjetja Viettel Security?
Pentest, okrajšava za Penetration Test, je v bistvu lažni kibernetski napad na vaš sistem za odkrivanje napak, ki jih je mogoče izkoristiti. V kontekstu spletnih aplikacij je Pentest izčrpna ocena za natančno določanje, analizo in poročanje o varnostnih pomanjkljivostih v aplikaciji. Razmišljajte o tem kot o stresnem testu za obrambo vašega sistema – pokaže, kje bi lahko prišlo do morebitnih kršitev.
Ta test, ki ga izvajajo izkušeni strokovnjaki podjetja Viettel Cyber Security, vodilnega v prostoru kibernetske varnosti, je del njihovega obsežnega paketa varnostnih storitev. Metodologija testiranja Greybox, uporabljena v naši oceni, vključuje vidike testiranja črne in bele skrinjice. Preizkuševalci imajo nekaj informacij o notranjem delovanju naše platforme, pri čemer posnemajo napad hekerja, ki je predhodno sodeloval s sistemom.
S sistematičnim izkoriščanjem različnih vidikov naše spletne infrastrukture, od napačnih konfiguracij strežnika in skriptiranja med spletnimi mesti do pokvarjene avtentikacije in izpostavljenosti občutljivim podatkom, Pentest ponuja realno sliko potencialnih groženj. Je temeljit, zajema različne vektorje napadov in se izvaja v nadzorovanem okolju, da se prepreči resnična škoda vpletenim sistemom.
Končno poročilo ne identificira le ranljivosti, temveč jih tudi razvrsti po resnosti in vključuje priporočila za njihovo odpravo. Opravljen tako obsežen in strog test poudarja moč kibernetske varnosti organizacije in je temeljni gradnik zaupanja v digitalni dobi.
Ugotovljene slabosti in popravki
Med fazo testiranja je bilo odkritih več ranljivosti, od težav s skriptiranjem med spletnimi mesti (XSS) do motenj nadzora dostopa (BAC). Natančneje, test je odkril ranljivosti, kot so shranjeni XSS v več funkcijah, nevarne neposredne reference objektov (IDOR) v funkciji brisanja predstavitve in stopnjevanje privilegijev v različnih funkcijah.
O AhaSlides tehnična ekipa, ki sodeluje z Viettel Cyber Security, je obravnavala vse ugotovljene težave. Ukrepi, kot so filtriranje vhodnih podatkov, kodiranje izhodnih podatkov, uporaba ustreznih glav odgovorov in sprejetje robustnega pravilnika o varnosti vsebine (CSP), so bili izvedeni za okrepitev naše obrambe.
AhaSlides Uspešno opravljen test prodora Viettel Security
Tako aplikaciji Presenter kot Audience sta uspešno prestali obsežen test prodora, ki ga je izvedel Viettel Security. Ta stroga ocena poudarja našo zavezanost robustnim varnostnim praksam in zaščiti podatkov uporabnikov.
Test, izveden decembra 2023, je uporabil metodologijo Greybox, ki je simulirala scenarij napada v resničnem svetu. Viettelovi varnostni strokovnjaki so natančno ocenili našo platformo glede ranljivosti in opredelili področja za izboljšave.
Ugotovljene ranljivosti je obravnaval AhaSlides inženirska ekipa v sodelovanju z Viettel Security. Izvedeni ukrepi vključujejo filtriranje vhodnih podatkov, kodiranje izhodnih podatkov, robusten pravilnik o varnosti vsebine (CSP) in ustrezne glave odgovorov za nadaljnjo utrditev platforme.
AhaSlides je vložil tudi v napredna nadzorna orodja za odkrivanje groženj v realnem času in odziv. Poleg tega so bili naši protokoli za odzivanje na incidente izboljšani, da zagotovijo hitro in učinkovito ukrepanje v primeru kršitve varnosti.
Varna in zaščitena platforma
Uporabniki so lahko prepričani, da so njihovi podatki zaščiteni in da njihove interaktivne izkušnje ostajajo varne. Z nenehnimi varnostnimi ocenami in nenehnimi izboljšavami smo predani izgradnji zanesljive in varne platforme za naše uporabnike.