Chúng tôi rất vui mừng được thông báo rằng AhaSlides đã đạt giải Greybox Pentest toàn diện do Viettel Cyber Security quản lý. Cuộc kiểm tra bảo mật chuyên sâu này nhắm vào hai nền tảng trực tuyến hàng đầu của chúng tôi: ứng dụng Presenter (người dẫn chương trình.ahaslides.com) và ứng dụng Đối tượng (khán giả.ahaslides.com).
Cuộc kiểm tra bảo mật diễn ra từ ngày 20 tháng 27 đến ngày 2023 tháng XNUMX năm XNUMX, bao gồm việc thăm dò tỉ mỉ các điểm yếu bảo mật khác nhau. Đội ngũ An ninh mạng của Viettel đã thực hiện phân tích chuyên sâu và đánh dấu một số lĩnh vực cần cải thiện trong hệ thống của chúng tôi.
Những điểm chính:
- Thời gian thử nghiệm: 20-27 tháng 2023 năm XNUMX
- Phạm vi: Phân tích chuyên sâu về các điểm yếu bảo mật tiềm ẩn khác nhau
- Kết quả: AhaSlides đã vượt qua bài kiểm tra sau khi giải quyết các lỗ hổng được xác định
- Tác động: Tăng cường bảo mật và độ tin cậy cho người dùng của chúng tôi
Pentest của An Ninh Viettel là gì?
Pentest, viết tắt của Penetration Test, về cơ bản là một cuộc tấn công mạng giả vào hệ thống của bạn để phát hiện ra các lỗi có thể khai thác được. Trong bối cảnh ứng dụng web, Pentest là một đánh giá toàn diện để xác định, phân tích và báo cáo về các lỗi bảo mật trong ứng dụng. Hãy coi đây như một bài kiểm tra căng thẳng đối với khả năng phòng thủ của hệ thống - nó cho thấy những vi phạm tiềm ẩn có thể xảy ra.
Được thực hiện bởi các chuyên gia dày dặn kinh nghiệm tại An ninh mạng của Viettel, công ty hàng đầu trong lĩnh vực an ninh mạng, cuộc thử nghiệm này là một phần trong gói dịch vụ bảo mật mở rộng của họ. Phương pháp thử nghiệm Greybox được sử dụng trong đánh giá của chúng tôi kết hợp các khía cạnh của cả thử nghiệm hộp đen và hộp trắng. Những người thử nghiệm có một số thông tin về hoạt động nội bộ của nền tảng của chúng tôi, bắt chước cuộc tấn công của một hacker có một số tương tác trước đó với hệ thống.
Bằng cách khai thác một cách có hệ thống nhiều khía cạnh khác nhau của cơ sở hạ tầng web của chúng tôi, từ cấu hình sai của máy chủ và tập lệnh chéo trang cho đến xác thực bị hỏng và lộ dữ liệu nhạy cảm, Pentest cung cấp một bức tranh thực tế về các mối đe dọa tiềm ẩn. Quá trình này diễn ra triệt để, bao gồm nhiều hướng tấn công khác nhau và được tiến hành trong môi trường được kiểm soát để đảm bảo không gây tổn hại thực sự cho các hệ thống liên quan.
Báo cáo cuối cùng không chỉ xác định các lỗ hổng mà còn ưu tiên chúng theo mức độ nghiêm trọng và bao gồm các đề xuất để khắc phục chúng. Việc vượt qua bài kiểm tra toàn diện và nghiêm ngặt như vậy sẽ nhấn mạnh sức mạnh về an ninh mạng của tổ chức và là nền tảng cơ bản cho niềm tin trong thời đại kỹ thuật số.
Điểm yếu và cách khắc phục được xác định
Trong giai đoạn thử nghiệm, một số lỗ hổng đã được tìm thấy, từ các vấn đề về Cross-Site Scripting (XSS) đến Broken Access Control (BAC). Cụ thể, thử nghiệm đã phát hiện ra các lỗ hổng như Stored XSS trên nhiều tính năng, Tham chiếu đối tượng trực tiếp không an toàn (IDOR) trong chức năng xóa Bản trình bày và Nâng cao đặc quyền trên nhiều chức năng khác nhau.
Nhóm công nghệ AhaSlides hợp tác chặt chẽ với Viettel Cyber Security đã giải quyết tất cả các vấn đề được xác định. Các biện pháp như lọc dữ liệu đầu vào, mã hóa dữ liệu đầu ra, sử dụng tiêu đề phản hồi thích hợp và áp dụng Chính sách bảo mật nội dung (CSP) mạnh mẽ đã được triển khai để tăng cường khả năng phòng vệ của chúng tôi.
AhaSlides đã vượt qua thành công bài kiểm tra thâm nhập của Vietel Security
Cả ứng dụng Presenter và Audience đều đã vượt qua thành công bài kiểm tra thâm nhập toàn diện do Viettel Security thực hiện. Đánh giá nghiêm ngặt này nhấn mạnh cam kết của chúng tôi đối với các biện pháp bảo mật mạnh mẽ và bảo vệ dữ liệu người dùng.
Cuộc thử nghiệm được tiến hành vào tháng 2023 năm XNUMX, sử dụng phương pháp Greybox, mô phỏng kịch bản tấn công trong thế giới thực. Các chuyên gia bảo mật của Viettel đã đánh giá tỉ mỉ các lỗ hổng trên nền tảng của chúng tôi, xác định các khu vực cần cải thiện.
Các lỗ hổng được xác định đã được giải quyết bởi nhóm kỹ thuật AhaSlides phối hợp với Viettel Security. Các biện pháp được triển khai bao gồm lọc dữ liệu đầu vào, mã hóa dữ liệu đầu ra, Chính sách bảo mật nội dung (CSP) mạnh mẽ và các tiêu đề phản hồi thích hợp để củng cố thêm nền tảng.
AhaSlides cũng đã đầu tư vào các công cụ giám sát tiên tiến để phát hiện và ứng phó với mối đe dọa theo thời gian thực. Ngoài ra, các giao thức ứng phó sự cố của chúng tôi đã được cải tiến để đảm bảo hành động nhanh chóng và hiệu quả trong trường hợp vi phạm an ninh.
Nền tảng an toàn và bảo mật
Người dùng có thể tin tưởng rằng dữ liệu của họ được bảo vệ và trải nghiệm tương tác của họ vẫn được đảm bảo an toàn. Với các đánh giá bảo mật liên tục và cải tiến liên tục, chúng tôi cam kết xây dựng một nền tảng đáng tin cậy và an toàn cho người dùng của mình.
