Jemi të kënaqur të njoftojmë se AhaSlides ka aderuar në Greybox Pentest gjithëpërfshirës të administruar nga Viettel Cyber Security. Ky ekzaminim i thelluar i sigurisë synoi dy platformat tona kryesore në internet: aplikacionin Prezantues (prezantues.ahaslides.com) dhe aplikacioni Audienca (auditor.ahaslides.com).
Testi i sigurisë, i cili u zhvillua nga 20 dhjetori deri më 27 dhjetor 2023, përfshiu një hetim të përpiktë për dobësi të ndryshme të sigurisë. Ekipi nga Viettel Cyber Security kreu një analizë të thellë dhe shënoi disa fusha për përmirësim brenda sistemit tonë.
Pikat kryesore:
- Periudha e testimit: 20-27 dhjetor 2023
- Fushëveprimi: Analizë e thellë e dobësive të ndryshme të mundshme të sigurisë
- Rezultati: AhaSlides kaloi testin pas adresimit të dobësive të identifikuara
- Ndikimi: Siguria dhe besueshmëria e shtuar për përdoruesit tanë
Çfarë është Pentesti i Viettel Security?
Një Pentest, shkurt për Testi i Penetrimit, është në thelb një sulm kibernetik i imituar në sistemin tuaj për të zbuluar gabime të shfrytëzuara. Në kontekstin e aplikacioneve në internet, një Pentest është një vlerësim shterues për të identifikuar, analizuar dhe raportuar mbi të metat e sigurisë brenda një aplikacioni. Mendoni si një test stresi për mbrojtjen e sistemit tuaj - tregon se ku mund të ndodhin shkelje të mundshme.
I kryer nga profesionistët me përvojë në Viettel Cyber Security, një qen më i mirë në hapësirën e sigurisë kibernetike, ky test është pjesë e paketës së tyre të gjerë të shërbimeve të sigurisë. Metodologjia e testimit Greybox e përdorur në vlerësimin tonë përfshin aspekte të testimit të kutisë së zezë dhe kutisë së bardhë. Testuesit kanë njëfarë inteligjence mbi funksionimin e brendshëm të platformës sonë, duke imituar një sulm nga një haker që ka disa ndërveprime paraprake me sistemin.
Duke shfrytëzuar sistematikisht aspekte të ndryshme të infrastrukturës sonë të ueb-it, nga konfigurimet e gabuara të serverëve dhe skriptimet e ndërsjella deri te vërtetimi i prishur dhe ekspozimi i ndjeshëm i të dhënave, Pentest ofron një pamje realiste të kërcënimeve të mundshme. Është i plotë, duke përfshirë vektorë të ndryshëm sulmi dhe kryhet në një mjedis të kontrolluar për të siguruar asnjë dëmtim të vërtetë për sistemet e përfshira.
Raporti përfundimtar jo vetëm që identifikon dobësitë, por gjithashtu i prioritizon ato sipas ashpërsisë dhe përfshin rekomandime për rregullimin e tyre. Kalimi i një testi kaq gjithëpërfshirës dhe rigoroz nënvizon forcën e sigurisë kibernetike të një organizate dhe është një bllok themelor ndërtimi për besimin në epokën dixhitale.
Dobësitë dhe rregullimet e identifikuara
Gjatë fazës së testimit, u gjetën disa dobësi, duke filluar nga skriptimet në vend (XSS) deri te problemet e Kontrollit të Aksesit të thyer (BAC). Për të qenë specifik, testi zbuloi dobësi si XSS e ruajtur në funksione të shumta, Referencat e pasigurta të objekteve direkte (IDOR) në funksionin e fshirjes së prezantimit dhe Përshkallëzimi i privilegjit në funksione të ndryshme.
Ekipi teknologjik i AhaSlides, duke punuar krah për krah me Viettel Cyber Security, ka adresuar të gjitha çështjet e identifikuara. Masat si filtrimi i të dhënave hyrëse, kodimi i daljes së të dhënave, përdorimi i titujve të duhur të përgjigjeve dhe miratimi i një Politike të fuqishme të Sigurisë së Përmbajtjes (CSP) janë zbatuar për të forcuar mbrojtjen tonë.
AhaSlides kaloi me sukses testin e depërtimit nga Viettel Security
Të dy aplikacionet Prezantuesi dhe Audienca kanë kaluar me sukses një test gjithëpërfshirës të penetrimit të kryer nga Viettel Security. Ky vlerësim rigoroz nënvizon angazhimin tonë ndaj praktikave të fuqishme të sigurisë dhe mbrojtjes së të dhënave të përdoruesit.
Testi, i kryer në dhjetor 2023, përdori një metodologji Greybox, duke simuluar një skenar sulmi në botën reale. Ekspertët e sigurisë të Viettel vlerësuan me përpikëri platformën tonë për dobësitë, duke identifikuar fushat për përmirësim.
Dobësitë e identifikuara u adresuan nga ekipi inxhinierik AhaSlides në bashkëpunim me Viettel Security. Masat e zbatuara përfshijnë filtrimin e të dhënave hyrëse, kodimin e të dhënave dalëse, një politikë të fortë të sigurisë së përmbajtjes (CSP) dhe titujt e duhur të përgjigjes për të forcuar më tej platformën.
AhaSlides ka investuar gjithashtu në mjete të avancuara monitorimi për zbulimin dhe reagimin e kërcënimeve në kohë reale. Për më tepër, protokollet tona të reagimit ndaj incidentit janë rafinuar për të siguruar veprim të shpejtë dhe efektiv në rast të një shkeljeje të sigurisë.
Një platformë e sigurt dhe e sigurt
Përdoruesit mund të jenë të sigurt se të dhënat e tyre mbrohen dhe përvojat e tyre ndërvepruese mbeten të sigurta. Me vlerësime të vazhdueshme të sigurisë dhe përmirësime të vazhdueshme, ne jemi të përkushtuar të ndërtojmë një platformë të besueshme dhe të sigurt për përdoruesit tanë.
