AhaSlides ผ่านการทดสอบการเจาะระบบของ Viettel Cyber ​​Security

ประกาศ

ทีม AhaSlides 30 สิงหาคม 2024 4 สีแดงขั้นต่ำ

ahaslides ผ่านการทดสอบการเจาะ

เรารู้สึกตื่นเต้นที่จะประกาศว่า AhaSlides ได้ดำเนินการ Greybox Pentest ที่ครอบคลุมทุกด้านซึ่งบริหารงานโดย Viettel Cyber ​​Security การตรวจสอบความปลอดภัยเชิงลึกนี้กำหนดเป้าหมายไปที่แพลตฟอร์มออนไลน์หลักสองแห่งของเรา: แอป Presenter (ผู้นำเสนอ.ahaslides.com) และแอป Audience (Audience.ahaslides.com).

การทดสอบความปลอดภัยซึ่งเริ่มตั้งแต่วันที่ 20 ธันวาคมถึง 27 ธันวาคม 2023 เกี่ยวข้องกับการตรวจสอบจุดอ่อนด้านความปลอดภัยต่างๆ อย่างพิถีพิถัน ทีมงานจาก Viettel Cyber ​​Security ทำการวิเคราะห์เชิงลึกและทำเครื่องหมายหลายด้านสำหรับการปรับปรุงภายในระบบของเรา

ประเด็นสำคัญ:

  • ระยะเวลาทดสอบ: 20-27 ธันวาคม 2023
  • ขอบเขต: การวิเคราะห์เชิงลึกเกี่ยวกับจุดอ่อนด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้น
  • ผลลัพธ์: AhaSlides ผ่านการทดสอบหลังจากระบุช่องโหว่ที่ระบุ
  • ผลกระทบ: ความปลอดภัยและความน่าเชื่อถือที่เพิ่มขึ้นสำหรับผู้ใช้ของเรา

Pentest ของ Viettel Security คืออะไร

Pentest ย่อมาจาก Penetration Test โดยพื้นฐานแล้วคือการโจมตีทางไซเบอร์จำลองในระบบของคุณเพื่อค้นหาจุดบกพร่องที่สามารถหาประโยชน์ได้ ในบริบทของเว็บแอปพลิเคชัน Pentest คือการประเมินอย่างละเอียดถี่ถ้วนเพื่อระบุ วิเคราะห์ และรายงานข้อบกพร่องด้านความปลอดภัยภายในแอปพลิเคชัน คิดว่านี่เป็นการทดสอบความเครียดสำหรับการป้องกันระบบของคุณ ซึ่งแสดงให้เห็นว่าการละเมิดที่อาจเกิดขึ้นได้ตรงจุดใดบ้าง

ดำเนินการโดยผู้เชี่ยวชาญมากประสบการณ์ที่ Viettel Cyber ​​Security ซึ่งเป็นหน่วยงานชั้นนำด้านความปลอดภัยทางไซเบอร์ การทดสอบนี้เป็นส่วนหนึ่งของชุดบริการรักษาความปลอดภัยที่ครอบคลุม วิธีการทดสอบ Greybox ที่ใช้ในการประเมินของเรารวมเอาแง่มุมต่างๆ ของการทดสอบทั้งกล่องดำและกล่องสีขาว ผู้ทดสอบมีข้อมูลบางอย่างเกี่ยวกับการทำงานภายในของแพลตฟอร์มของเรา โดยเลียนแบบการโจมตีของแฮ็กเกอร์ที่มีการโต้ตอบกับระบบก่อนหน้านี้

ด้วยการใช้ประโยชน์จากแง่มุมต่างๆ ของโครงสร้างพื้นฐานเว็บของเราอย่างเป็นระบบ ตั้งแต่การกำหนดค่าเซิร์ฟเวอร์ที่ผิดพลาดและการเขียนสคริปต์ข้ามไซต์ ไปจนถึงการรับรองความถูกต้องที่เสียหายและการเปิดเผยข้อมูลที่ละเอียดอ่อน Pentest นำเสนอภาพที่สมจริงของภัยคุกคามที่อาจเกิดขึ้น มีความละเอียดรอบคอบ ครอบคลุมการโจมตีต่างๆ และดำเนินการในสภาพแวดล้อมที่มีการควบคุมเพื่อให้แน่ใจว่าไม่มีอันตรายร้ายแรงต่อระบบที่เกี่ยวข้อง

รายงานขั้นสุดท้ายไม่เพียงแต่ระบุช่องโหว่เท่านั้น แต่ยังจัดลำดับความสำคัญตามความรุนแรงและรวมถึงคำแนะนำในการแก้ไขด้วย การผ่านการทดสอบที่ครอบคลุมและเข้มงวดดังกล่าวเป็นการตอกย้ำความแข็งแกร่งด้านความปลอดภัยทางไซเบอร์ขององค์กร และเป็นรากฐานสำคัญของความไว้วางใจในยุคดิจิทัล

ระบุจุดอ่อนและการแก้ไข

ในระหว่างขั้นตอนการทดสอบ พบช่องโหว่หลายประการ ตั้งแต่ปัญหา Cross-Site Scripting (XSS) ไปจนถึงปัญหา Broken Access Control (BAC) โดยเจาะจง การทดสอบได้เปิดเผยช่องโหว่ เช่น Stored XSS ในฟีเจอร์ต่างๆ, Insecure Direct Object References (IDOR) ในฟังก์ชันการลบการนำเสนอ และ Privilege Escalation ในฟังก์ชันต่างๆ

ทีมเทคโนโลยี AhaSlides ซึ่งทำงานร่วมกับ Viettel Cyber ​​Security ได้แก้ไขปัญหาที่ระบุทั้งหมด- มีการใช้มาตรการต่างๆ เช่น การกรองข้อมูลอินพุต การเข้ารหัสเอาต์พุตข้อมูล การใช้ส่วนหัวการตอบสนองที่เหมาะสม และการนำนโยบายความปลอดภัยเนื้อหา (CSP) มาใช้เพื่อเพิ่มการป้องกันของเรา

AhaSlides ผ่านการทดสอบการรุกโดย Viettel Security สำเร็จ

ทั้งแอปพลิเคชัน Presenter และ Audience ผ่านการทดสอบการเจาะระบบที่ครอบคลุมซึ่งดำเนินการโดย Viettel Security เรียบร้อยแล้ว การประเมินที่เข้มงวดนี้ตอกย้ำความมุ่งมั่นของเราต่อแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งและการปกป้องข้อมูลผู้ใช้

การทดสอบดังกล่าวดำเนินการในเดือนธันวาคม พ.ศ. 2023 โดยใช้วิธี Greybox ซึ่งเป็นการจำลองสถานการณ์การโจมตีในโลกแห่งความเป็นจริง ผู้เชี่ยวชาญด้านความปลอดภัยของ Viettel ประเมินแพลตฟอร์มของเราเพื่อหาช่องโหว่อย่างพิถีพิถัน และระบุจุดที่ต้องปรับปรุง

ช่องโหว่ที่ระบุได้รับการแก้ไขโดยทีมวิศวกร AhaSlides โดยความร่วมมือกับ Viettel Security มาตรการที่นำมาใช้ ได้แก่ การกรองข้อมูลอินพุต การเข้ารหัสข้อมูลเอาต์พุต นโยบายความปลอดภัยเนื้อหา (CSP) ที่แข็งแกร่ง และส่วนหัวการตอบสนองที่เหมาะสมเพื่อเสริมความแข็งแกร่งของแพลตฟอร์ม

AhaSlides ยังได้ลงทุนในเครื่องมือตรวจสอบขั้นสูงสำหรับการตรวจจับและตอบสนองภัยคุกคามแบบเรียลไทม์ นอกจากนี้ โปรโตคอลการตอบสนองต่อเหตุการณ์ของเรายังได้รับการปรับปรุงเพื่อให้มั่นใจถึงการดำเนินการที่รวดเร็วและมีประสิทธิภาพในกรณีที่เกิดการละเมิดความปลอดภัย

แพลตฟอร์มที่ปลอดภัย

ผู้ใช้สามารถมั่นใจได้ว่าข้อมูลของตนได้รับการปกป้องและประสบการณ์เชิงโต้ตอบยังคงปลอดภัย ด้วยการประเมินความปลอดภัยอย่างต่อเนื่องและการปรับปรุงอย่างต่อเนื่อง เรามุ่งมั่นที่จะสร้างแพลตฟอร์มที่เชื่อถือได้และปลอดภัยสำหรับผู้ใช้ของเรา