AhaSlides ผ่านการทดสอบการเจาะระบบของ Viettel Cyber ​​Security

ประกาศ

AhaSlides ทีมงานของเรา 05 ธันวาคม, 2024 4 สีแดงขั้นต่ำ

ใบรับรองการทดสอบการเจาะของ Viettel สำหรับ Ahaslides

เราตื่นเต้นที่จะประกาศว่า AhaSlides ผ่านการทดสอบ Greybox Pentest ที่ครอบคลุมทุกด้านซึ่งจัดทำโดย Viettel Cyber ​​Security การทดสอบความปลอดภัยเชิงลึกนี้มุ่งเป้าไปที่แพลตฟอร์มออนไลน์เรือธงสองแพลตฟอร์มของเรา: แอป Presenter (ผู้นำเสนอ.ahaslides.com) และแอป Audience (Audience.ahaslides.com).

การทดสอบความปลอดภัยซึ่งเริ่มตั้งแต่วันที่ 20 ธันวาคมถึง 27 ธันวาคม 2023 เกี่ยวข้องกับการตรวจสอบจุดอ่อนด้านความปลอดภัยต่างๆ อย่างพิถีพิถัน ทีมงานจาก Viettel Cyber ​​Security ทำการวิเคราะห์เชิงลึกและทำเครื่องหมายหลายด้านสำหรับการปรับปรุงภายในระบบของเรา

ประเด็นสำคัญ:

  • ระยะเวลาทดสอบ: 20-27 ธันวาคม 2023
  • ขอบเขต: การวิเคราะห์เชิงลึกเกี่ยวกับจุดอ่อนด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้น
  • ผลลัพธ์: AhaSlides ผ่านการทดสอบหลังจากแก้ไขช่องโหว่ที่ระบุแล้ว
  • ผลกระทบ: ความปลอดภัยและความน่าเชื่อถือที่เพิ่มขึ้นสำหรับผู้ใช้ของเรา

Pentest ของ Viettel Security คืออะไร

Pentest ย่อมาจาก Penetration Test โดยพื้นฐานแล้วคือการโจมตีทางไซเบอร์จำลองในระบบของคุณเพื่อค้นหาจุดบกพร่องที่สามารถหาประโยชน์ได้ ในบริบทของเว็บแอปพลิเคชัน Pentest คือการประเมินอย่างละเอียดถี่ถ้วนเพื่อระบุ วิเคราะห์ และรายงานข้อบกพร่องด้านความปลอดภัยภายในแอปพลิเคชัน คิดว่านี่เป็นการทดสอบความเครียดสำหรับการป้องกันระบบของคุณ ซึ่งแสดงให้เห็นว่าการละเมิดที่อาจเกิดขึ้นได้ตรงจุดใดบ้าง

ดำเนินการโดยผู้เชี่ยวชาญมากประสบการณ์ที่ Viettel Cyber ​​Security ซึ่งเป็นหน่วยงานชั้นนำด้านความปลอดภัยทางไซเบอร์ การทดสอบนี้เป็นส่วนหนึ่งของชุดบริการรักษาความปลอดภัยที่ครอบคลุม วิธีการทดสอบ Greybox ที่ใช้ในการประเมินของเรารวมเอาแง่มุมต่างๆ ของการทดสอบทั้งกล่องดำและกล่องสีขาว ผู้ทดสอบมีข้อมูลบางอย่างเกี่ยวกับการทำงานภายในของแพลตฟอร์มของเรา โดยเลียนแบบการโจมตีของแฮ็กเกอร์ที่มีการโต้ตอบกับระบบก่อนหน้านี้

ด้วยการใช้ประโยชน์จากแง่มุมต่างๆ ของโครงสร้างพื้นฐานเว็บของเราอย่างเป็นระบบ ตั้งแต่การกำหนดค่าเซิร์ฟเวอร์ที่ผิดพลาดและการเขียนสคริปต์ข้ามไซต์ ไปจนถึงการรับรองความถูกต้องที่เสียหายและการเปิดเผยข้อมูลที่ละเอียดอ่อน Pentest นำเสนอภาพที่สมจริงของภัยคุกคามที่อาจเกิดขึ้น มีความละเอียดรอบคอบ ครอบคลุมการโจมตีต่างๆ และดำเนินการในสภาพแวดล้อมที่มีการควบคุมเพื่อให้แน่ใจว่าไม่มีอันตรายร้ายแรงต่อระบบที่เกี่ยวข้อง

รายงานขั้นสุดท้ายไม่เพียงแต่ระบุช่องโหว่เท่านั้น แต่ยังจัดลำดับความสำคัญตามความรุนแรงและรวมถึงคำแนะนำในการแก้ไขด้วย การผ่านการทดสอบที่ครอบคลุมและเข้มงวดดังกล่าวเป็นการตอกย้ำความแข็งแกร่งด้านความปลอดภัยทางไซเบอร์ขององค์กร และเป็นรากฐานสำคัญของความไว้วางใจในยุคดิจิทัล

ระบุจุดอ่อนและการแก้ไข

ในระหว่างขั้นตอนการทดสอบ พบช่องโหว่หลายประการ ตั้งแต่ปัญหา Cross-Site Scripting (XSS) ไปจนถึงปัญหา Broken Access Control (BAC) โดยเจาะจง การทดสอบได้เปิดเผยช่องโหว่ เช่น Stored XSS ในฟีเจอร์ต่างๆ, Insecure Direct Object References (IDOR) ในฟังก์ชันการลบการนำเสนอ และ Privilege Escalation ในฟังก์ชันต่างๆ

งานวิ่งการกุศล AhaSlides ทีมเทคโนโลยีซึ่งทำงานร่วมกับ Viettel Cyber ​​Security ได้แก้ไขปัญหาทั้งหมดที่ระบุไว้- มีการใช้มาตรการต่างๆ เช่น การกรองข้อมูลอินพุต การเข้ารหัสเอาต์พุตข้อมูล การใช้ส่วนหัวการตอบสนองที่เหมาะสม และการนำนโยบายความปลอดภัยเนื้อหา (CSP) มาใช้เพื่อเพิ่มการป้องกันของเรา

AhaSlides ผ่านการทดสอบการเจาะระบบโดย Viettel Security สำเร็จ

ทั้งแอปพลิเคชัน Presenter และ Audience ผ่านการทดสอบการเจาะระบบที่ครอบคลุมซึ่งดำเนินการโดย Viettel Security เรียบร้อยแล้ว การประเมินที่เข้มงวดนี้ตอกย้ำความมุ่งมั่นของเราต่อแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งและการปกป้องข้อมูลผู้ใช้

การทดสอบดังกล่าวดำเนินการในเดือนธันวาคม พ.ศ. 2023 โดยใช้วิธี Greybox ซึ่งเป็นการจำลองสถานการณ์การโจมตีในโลกแห่งความเป็นจริง ผู้เชี่ยวชาญด้านความปลอดภัยของ Viettel ประเมินแพลตฟอร์มของเราเพื่อหาช่องโหว่อย่างพิถีพิถัน และระบุจุดที่ต้องปรับปรุง

ช่องโหว่ที่ระบุได้รับการแก้ไขโดย AhaSlides ทีมวิศวกรรมที่ร่วมมือกับ Viettel Security มาตรการที่นำมาใช้ ได้แก่ การกรองข้อมูลอินพุต การเข้ารหัสข้อมูลเอาท์พุต นโยบายความปลอดภัยของเนื้อหา (CSP) ที่แข็งแกร่ง และส่วนหัวการตอบสนองที่เหมาะสมเพื่อเสริมความแข็งแกร่งให้กับแพลตฟอร์ม

AhaSlides นอกจากนี้ ยังได้ลงทุนในเครื่องมือตรวจสอบขั้นสูงสำหรับการตรวจจับและตอบสนองภัยคุกคามแบบเรียลไทม์ นอกจากนี้ เรายังปรับปรุงโปรโตคอลการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นเพื่อให้มั่นใจว่าสามารถดำเนินการได้อย่างรวดเร็วและมีประสิทธิภาพในกรณีที่เกิดการละเมิดความปลอดภัย

แพลตฟอร์มที่ปลอดภัย

ผู้ใช้สามารถมั่นใจได้ว่าข้อมูลของตนได้รับการปกป้องและประสบการณ์เชิงโต้ตอบยังคงปลอดภัย ด้วยการประเมินความปลอดภัยอย่างต่อเนื่องและการปรับปรุงอย่างต่อเนื่อง เรามุ่งมั่นที่จะสร้างแพลตฟอร์มที่เชื่อถือได้และปลอดภัยสำหรับผู้ใช้ของเรา