เรารู้สึกตื่นเต้นที่จะประกาศว่า AhaSlides ได้ดำเนินการ Greybox Pentest ที่ครอบคลุมทุกด้านซึ่งบริหารงานโดย Viettel Cyber Security การตรวจสอบความปลอดภัยเชิงลึกนี้กำหนดเป้าหมายไปที่แพลตฟอร์มออนไลน์หลักสองแห่งของเรา: แอป Presenter (ผู้นำเสนอ.ahaslides.com) และแอป Audience (Audience.ahaslides.com).
การทดสอบความปลอดภัยซึ่งเริ่มตั้งแต่วันที่ 20 ธันวาคมถึง 27 ธันวาคม 2023 เกี่ยวข้องกับการตรวจสอบจุดอ่อนด้านความปลอดภัยต่างๆ อย่างพิถีพิถัน ทีมงานจาก Viettel Cyber Security ทำการวิเคราะห์เชิงลึกและทำเครื่องหมายหลายด้านสำหรับการปรับปรุงภายในระบบของเรา
ประเด็นสำคัญ:
- ระยะเวลาทดสอบ: 20-27 ธันวาคม 2023
- ขอบเขต: การวิเคราะห์เชิงลึกเกี่ยวกับจุดอ่อนด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้น
- ผลลัพธ์: AhaSlides ผ่านการทดสอบหลังจากระบุช่องโหว่ที่ระบุ
- ผลกระทบ: ความปลอดภัยและความน่าเชื่อถือที่เพิ่มขึ้นสำหรับผู้ใช้ของเรา
Pentest ของ Viettel Security คืออะไร
Pentest ย่อมาจาก Penetration Test โดยพื้นฐานแล้วคือการโจมตีทางไซเบอร์จำลองในระบบของคุณเพื่อค้นหาจุดบกพร่องที่สามารถหาประโยชน์ได้ ในบริบทของเว็บแอปพลิเคชัน Pentest คือการประเมินอย่างละเอียดถี่ถ้วนเพื่อระบุ วิเคราะห์ และรายงานข้อบกพร่องด้านความปลอดภัยภายในแอปพลิเคชัน คิดว่านี่เป็นการทดสอบความเครียดสำหรับการป้องกันระบบของคุณ ซึ่งแสดงให้เห็นว่าการละเมิดที่อาจเกิดขึ้นได้ตรงจุดใดบ้าง
ดำเนินการโดยผู้เชี่ยวชาญมากประสบการณ์ที่ Viettel Cyber Security ซึ่งเป็นหน่วยงานชั้นนำด้านความปลอดภัยทางไซเบอร์ การทดสอบนี้เป็นส่วนหนึ่งของชุดบริการรักษาความปลอดภัยที่ครอบคลุม วิธีการทดสอบ Greybox ที่ใช้ในการประเมินของเรารวมเอาแง่มุมต่างๆ ของการทดสอบทั้งกล่องดำและกล่องสีขาว ผู้ทดสอบมีข้อมูลบางอย่างเกี่ยวกับการทำงานภายในของแพลตฟอร์มของเรา โดยเลียนแบบการโจมตีของแฮ็กเกอร์ที่มีการโต้ตอบกับระบบก่อนหน้านี้
ด้วยการใช้ประโยชน์จากแง่มุมต่างๆ ของโครงสร้างพื้นฐานเว็บของเราอย่างเป็นระบบ ตั้งแต่การกำหนดค่าเซิร์ฟเวอร์ที่ผิดพลาดและการเขียนสคริปต์ข้ามไซต์ ไปจนถึงการรับรองความถูกต้องที่เสียหายและการเปิดเผยข้อมูลที่ละเอียดอ่อน Pentest นำเสนอภาพที่สมจริงของภัยคุกคามที่อาจเกิดขึ้น มีความละเอียดรอบคอบ ครอบคลุมการโจมตีต่างๆ และดำเนินการในสภาพแวดล้อมที่มีการควบคุมเพื่อให้แน่ใจว่าไม่มีอันตรายร้ายแรงต่อระบบที่เกี่ยวข้อง
รายงานขั้นสุดท้ายไม่เพียงแต่ระบุช่องโหว่เท่านั้น แต่ยังจัดลำดับความสำคัญตามความรุนแรงและรวมถึงคำแนะนำในการแก้ไขด้วย การผ่านการทดสอบที่ครอบคลุมและเข้มงวดดังกล่าวเป็นการตอกย้ำความแข็งแกร่งด้านความปลอดภัยทางไซเบอร์ขององค์กร และเป็นรากฐานสำคัญของความไว้วางใจในยุคดิจิทัล
ระบุจุดอ่อนและการแก้ไข
ในระหว่างขั้นตอนการทดสอบ พบช่องโหว่หลายประการ ตั้งแต่ปัญหา Cross-Site Scripting (XSS) ไปจนถึงปัญหา Broken Access Control (BAC) โดยเจาะจง การทดสอบได้เปิดเผยช่องโหว่ เช่น Stored XSS ในฟีเจอร์ต่างๆ, Insecure Direct Object References (IDOR) ในฟังก์ชันการลบการนำเสนอ และ Privilege Escalation ในฟังก์ชันต่างๆ
ทีมเทคโนโลยี AhaSlides ซึ่งทำงานร่วมกับ Viettel Cyber Security ได้แก้ไขปัญหาที่ระบุทั้งหมด- มีการใช้มาตรการต่างๆ เช่น การกรองข้อมูลอินพุต การเข้ารหัสเอาต์พุตข้อมูล การใช้ส่วนหัวการตอบสนองที่เหมาะสม และการนำนโยบายความปลอดภัยเนื้อหา (CSP) มาใช้เพื่อเพิ่มการป้องกันของเรา
AhaSlides ผ่านการทดสอบการรุกโดย Viettel Security สำเร็จ
ทั้งแอปพลิเคชัน Presenter และ Audience ผ่านการทดสอบการเจาะระบบที่ครอบคลุมซึ่งดำเนินการโดย Viettel Security เรียบร้อยแล้ว การประเมินที่เข้มงวดนี้ตอกย้ำความมุ่งมั่นของเราต่อแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งและการปกป้องข้อมูลผู้ใช้
การทดสอบดังกล่าวดำเนินการในเดือนธันวาคม พ.ศ. 2023 โดยใช้วิธี Greybox ซึ่งเป็นการจำลองสถานการณ์การโจมตีในโลกแห่งความเป็นจริง ผู้เชี่ยวชาญด้านความปลอดภัยของ Viettel ประเมินแพลตฟอร์มของเราเพื่อหาช่องโหว่อย่างพิถีพิถัน และระบุจุดที่ต้องปรับปรุง
ช่องโหว่ที่ระบุได้รับการแก้ไขโดยทีมวิศวกร AhaSlides โดยความร่วมมือกับ Viettel Security มาตรการที่นำมาใช้ ได้แก่ การกรองข้อมูลอินพุต การเข้ารหัสข้อมูลเอาต์พุต นโยบายความปลอดภัยเนื้อหา (CSP) ที่แข็งแกร่ง และส่วนหัวการตอบสนองที่เหมาะสมเพื่อเสริมความแข็งแกร่งของแพลตฟอร์ม
AhaSlides ยังได้ลงทุนในเครื่องมือตรวจสอบขั้นสูงสำหรับการตรวจจับและตอบสนองภัยคุกคามแบบเรียลไทม์ นอกจากนี้ โปรโตคอลการตอบสนองต่อเหตุการณ์ของเรายังได้รับการปรับปรุงเพื่อให้มั่นใจถึงการดำเนินการที่รวดเร็วและมีประสิทธิภาพในกรณีที่เกิดการละเมิดความปลอดภัย
แพลตฟอร์มที่ปลอดภัย
ผู้ใช้สามารถมั่นใจได้ว่าข้อมูลของตนได้รับการปกป้องและประสบการณ์เชิงโต้ตอบยังคงปลอดภัย ด้วยการประเมินความปลอดภัยอย่างต่อเนื่องและการปรับปรุงอย่างต่อเนื่อง เรามุ่งมั่นที่จะสร้างแพลตฟอร์มที่เชื่อถือได้และปลอดภัยสำหรับผู้ใช้ของเรา