AhaSlides'ın Viettel Cyber Security tarafından yönetilen her şeyi kapsayan Greybox Pentest'te başarılı olduğunu duyurmaktan heyecan duyuyoruz. Bu derinlemesine güvenlik incelemesi iki amiral gemisi çevrimiçi platformumuzu hedef aldı: Presenter uygulaması (sunum yapan kişi.ahaslides.com) ve Kitle uygulaması (seyirci.ahaslides.com).
20 Aralık - 27 Aralık 2023 tarihleri arasında gerçekleştirilen güvenlik testi, çeşitli güvenlik zayıflıklarının titizlikle incelenmesini içeriyordu. Viettel Cyber Security ekibi derinlemesine bir analiz gerçekleştirdi ve sistemimizdeki iyileştirmeye açık birçok alanı işaretledi.
Kilit noktaları:
- Test Dönemi: 20-27 Aralık 2023
- Kapsam: Çeşitli potansiyel güvenlik zayıflıklarının derinlemesine analizi
- Sonuç: AhaSlides, belirlenen güvenlik açıklarını giderdikten sonra testi geçti
- Etkisi: Kullanıcılarımız için gelişmiş güvenlik ve güvenilirlik
Viettel Security'nin Sızma Testi Nedir?
Sızma Testi'nin kısaltması olan Pentest, esasen, sömürülebilir hataları ortaya çıkarmak için sisteminize yapılan sahte bir siber saldırıdır. Web uygulamaları bağlamında Pentest, bir uygulamadaki güvenlik kusurlarını tespit etmek, analiz etmek ve raporlamak için kapsamlı bir değerlendirmedir. Bunu sisteminizin savunması için bir stres testi olarak düşünün; potansiyel ihlallerin nerede meydana gelebileceğini gösterir.
Siber güvenlik alanının en iyi isimlerinden biri olan Viettel Cyber Security'nin deneyimli profesyonelleri tarafından gerçekleştirilen bu test, kapsamlı güvenlik hizmet paketinin bir parçasıdır. Değerlendirmemizde kullanılan Gri Kutu test metodolojisi, hem kara kutu hem de beyaz kutu testinin özelliklerini içermektedir. Test uzmanlarının, platformumuzun dahili işleyişi hakkında, sistemle önceden etkileşimi olan bir bilgisayar korsanının saldırısını taklit eden bazı bilgileri var.
Yanlış sunucu yapılandırmalarından siteler arası komut dosyası çalıştırmaya, bozuk kimlik doğrulama ve hassas verilerin açığa çıkmasına kadar web altyapımızın çeşitli yönlerinden sistematik olarak yararlanan Pentest, potansiyel tehditlerin gerçekçi bir resmini sunar. Kapsamlıdır, çeşitli saldırı vektörlerini kapsar ve söz konusu sistemlere gerçek bir zarar gelmemesi için kontrollü bir ortamda gerçekleştirilir.
Nihai rapor yalnızca güvenlik açıklarını tanımlamakla kalmıyor, aynı zamanda bunları önem derecesine göre önceliklendiriyor ve bunların düzeltilmesine yönelik öneriler içeriyor. Böylesine kapsamlı ve titiz bir testi geçmek, bir kuruluşun siber güvenliğinin gücünü vurguluyor ve dijital çağda güvenin temel yapı taşıdır.
Tanımlanan Zayıf Yönler ve Düzeltmeler
Test aşamasında, Siteler Arası Komut Dosyası Çalıştırma'dan (XSS) Bozuk Erişim Kontrolü (BAC) sorunlarına kadar çeşitli güvenlik açıkları bulundu. Spesifik olarak test, birden fazla özellikte Saklanan XSS, Sunum silme işlevindeki Güvenli Olmayan Doğrudan Nesne Referansları (IDOR) ve çeşitli işlevlerde Ayrıcalık Artışı gibi güvenlik açıklarını ortaya çıkardı.
Viettel Cyber Security ile el ele çalışan AhaSlides teknoloji ekibi belirlenen tüm sorunları ele aldı. Savunmamızı güçlendirmek için giriş verilerinin filtrelenmesi, veri çıkışı kodlaması, uygun yanıt başlıklarının kullanılması ve sağlam bir İçerik Güvenliği Politikasının (CSP) benimsenmesi gibi önlemler uygulandı.
AhaSlides, Viettel Security Tarafından Yapılan Sızma Testini Başarıyla Geçti
Hem Presenter hem de Audience uygulamaları Viettel Security tarafından gerçekleştirilen kapsamlı bir sızma testinden başarıyla geçmiştir. Bu titiz değerlendirme, sağlam güvenlik uygulamalarına ve kullanıcı verilerinin korunmasına olan bağlılığımızın altını çizmektedir.
Aralık 2023'te gerçekleştirilen testte, gerçek dünyadaki bir saldırı senaryosunu simüle eden bir Greybox metodolojisi kullanıldı. Viettel'in güvenlik uzmanları platformumuzu güvenlik açıklarına karşı titizlikle değerlendirerek iyileştirilecek alanları belirledi.
Belirlenen güvenlik açıkları, Viettel Security ile işbirliği içinde AhaSlides mühendislik ekibi tarafından giderildi. Uygulanan önlemler arasında giriş verilerinin filtrelenmesi, çıkış verilerinin kodlanması, sağlam bir İçerik Güvenliği Politikası (CSP) ve platformun daha da güçlendirilmesi için uygun yanıt başlıkları yer alıyor.
AhaSlides ayrıca gerçek zamanlı tehdit tespiti ve müdahalesi için gelişmiş izleme araçlarına da yatırım yaptı. Ayrıca, olay müdahale protokollerimiz, bir güvenlik ihlali durumunda hızlı ve etkili müdahaleyi sağlayacak şekilde iyileştirildi.
Güvenli ve Emniyetli Bir Platform
Kullanıcılar, verilerinin korunduğundan ve etkileşimli deneyimlerinin güvende kaldığından emin olabilirler. Devam eden güvenlik değerlendirmeleri ve sürekli iyileştirmelerle kullanıcılarımız için güvenilir ve emniyetli bir platform oluşturmaya kararlıyız.
