AhaSlides Пройшов тест на проникнення Viettel Cyber ​​Security

Сповіщення

AhaSlides професіонали 30 серпень, 2024 4 хв читання

ahaslides пройшов тест на проникнення

Ми раді повідомити це AhaSlides пройшов всеохоплюючий Pentest Greybox, який проводить Viettel Cyber ​​Security. Ця поглиблена перевірка безпеки була спрямована на наші дві провідні онлайн-платформи: додаток Presenter (presenter.ahaslides.com) і додаток Audience (аудиторія.ahaslides.com).

Перевірка безпеки, яка тривала з 20 по 27 грудня 2023 року, передбачала ретельний пошук різноманітних недоліків безпеки. Команда Viettel Cyber ​​Security провела глибокий аналіз і відзначила кілька областей, які потребують вдосконалення в нашій системі.

Ключові моменти:

  • Тестовий період: 20-27 грудня 2023 року
  • Сфера: поглиблений аналіз різних потенційних недоліків безпеки
  • Результат: AhaSlides пройшли перевірку після усунення виявлених вразливостей
  • Вплив: покращена безпека та надійність для наших користувачів

Що таке пентест Viettel Security?

Pentest, скорочення від Penetration Test, по суті, є імітацією кібератаки на вашу систему для виявлення помилок, які можна використовувати. У контексті веб-додатків Pentest — це вичерпна оцінка для визначення, аналізу та звіту про недоліки безпеки в програмі. Сприймайте це як стрес-тест захисту вашої системи – він показує, де можуть статися потенційні порушення.

Цей тест проводиться досвідченими професіоналами компанії Viettel Cyber ​​Security, лідера в галузі кібербезпеки, і є частиною їх широкого пакету послуг безпеки. Методологія тестування Greybox, яка використовується в нашій оцінці, включає аспекти тестування як чорного, так і білого ящика. Тестувальники мають певну інформацію про внутрішню роботу нашої платформи, імітуючи атаку хакера, який раніше взаємодіяв із системою.

Завдяки систематичному використанню різних аспектів нашої веб-інфраструктури, від неправильної конфігурації сервера та міжсайтового сценарію до порушеної автентифікації та викриття конфіденційних даних, Pentest пропонує реалістичну картину потенційних загроз. Він є ретельним, охоплює різні вектори атак і проводиться в контрольованому середовищі, щоб уникнути реальної шкоди залученим системам.

Остаточний звіт не лише визначає вразливості, але й розставляє їх за ступенем серйозності та містить рекомендації щодо їх усунення. Проходження такого комплексного та ретельного тестування підкреслює міцність кібербезпеки організації та є основним будівельним блоком довіри в епоху цифрових технологій.

Виявлені недоліки та виправлення

Під час етапу тестування було виявлено кілька вразливостей, починаючи від міжсайтових сценаріїв (XSS) і закінчуючи порушенням контролю доступу (BAC). Якщо говорити конкретно, тест виявив такі вразливості, як збережений XSS у кількох функціях, небезпечні прямі посилання на об’єкти (IDOR) у функції видалення презентації та підвищення привілеїв у різних функціях.

Команда AhaSlides технічна команда, працюючи рука об руку з Viettel Cyber ​​Security, вирішила всі виявлені проблеми. Для зміцнення наших засобів захисту впроваджено такі заходи, як фільтрація вхідних даних, кодування вихідних даних, використання відповідних заголовків відповідей і прийняття надійної політики безпеки вмісту (CSP).

AhaSlides Успішно пройшов тест на проникнення від Viettel Security

Додатки Presenter і Audience успішно пройшли комплексний тест на проникнення, проведений Viettel Security. Це суворе оцінювання підкреслює нашу відданість надійним методам безпеки та захисту даних користувачів.

Тест, проведений у грудні 2023 року, використовував методологію Greybox, симулюючи реальний сценарій атаки. Експерти Viettel з безпеки ретельно оцінили нашу платформу на наявність вразливостей, визначивши області для вдосконалення.

Виявлені вразливості були усунені AhaSlides команда інженерів у співпраці з Viettel Security. Впроваджені заходи включають фільтрацію вхідних даних, кодування вихідних даних, надійну політику безпеки вмісту (CSP) і відповідні заголовки відповідей для подальшого зміцнення платформи.

AhaSlides також інвестував у передові інструменти моніторингу для виявлення загроз у реальному часі та реагування на них. Крім того, наші протоколи реагування на інциденти були вдосконалені, щоб забезпечити швидкі та ефективні дії у разі порушення безпеки.

Безпечна та захищена платформа

Користувачі можуть бути впевнені, що їхні дані захищені, а інтерактивний досвід залишається в безпеці. Завдяки постійним оцінкам безпеки та постійному вдосконаленню ми прагнемо створити надійну та безпечну платформу для наших користувачів.