我們很高興地宣布,AhaSlides 在 Viettel Cyber Security 管理的全方位灰盒滲透測試中取得了優異成績。這次深入的安全檢查針對的是我們的兩個旗艦線上平台:Presenter 應用程式(演示者.ahaslides.com) 和 Audience 應用程式 (Audience.ahaslides.com).
這項安全測試於20年27月2023日至XNUMX日進行,對各種安全漏洞進行了細緻的探測。 Viettel 網路安全團隊進行了深入分析,並標記了我們系統中需要改進的幾個領域。
關鍵點:
- 測試時間:20年27月2023-XNUMX日
- 範圍:深入分析各種潛在的安全弱點
- 結果:AhaSlides 在解決已識別的漏洞後通過了測試
- 影響:增強使用者的安全性和可靠性
Viettel Security 的滲透測試是什麼?
滲透測試(Penetration Test)的縮寫,本質上是對系統的模擬網路攻擊,以發現可利用的錯誤。在 Web 應用程式的上下文中,滲透測試是一種詳盡的評估,用於查明、分析和報告應用程式中的安全缺陷。將其視為對系統防禦的壓力測試 - 它顯示了可能發生潛在漏洞的位置。
該測試由網路安全領域頂尖企業 Viettel Cyber Security 經驗豐富的專業人士進行,是其廣泛的安全服務套件的一部分。我們的評估中使用的灰盒測試方法結合了黑盒和白盒測試的各個方面。測試人員掌握了有關我們平台內部運作的一些情報,模仿了與系統進行過一些互動的駭客的攻擊。
透過系統地利用我們網路基礎架構的各個方面,從伺服器錯誤配置和跨站點腳本到身份驗證失效和敏感資料暴露,滲透測試提供了潛在威脅的真實情況。它是徹底的,涵蓋各種攻擊媒介,並且在受控環境中進行,以確保對所涉及的系統不會造成真正的損害。
最終報告不僅識別了漏洞,還按嚴重程度對它們進行了優先排序,並包括修復這些漏洞的建議。透過如此全面和嚴格的測試突顯了組織的網路安全實力,是數位時代信任的基本組成部分。
已發現的弱點和修復
在測試階段,發現了多個漏洞,從跨站點腳本(XSS)到破壞存取控制(BAC)問題。具體來說,測試發現了跨多個功能的儲存型 XSS、演示刪除功能中的不安全直接物件參考 (IDOR) 以及跨各種功能的權限提升等漏洞。
AhaSlides 技術團隊與 Viettel Cyber Security 攜手合作,解決了所有已發現的問題。已實施輸入資料過濾、資料輸出編碼、使用適當的回應標頭以及採用強大的內容安全策略 (CSP) 等措施來加強我們的防禦。
AhaSlides 成功通過 Viettel Security 滲透測試
Presenter 和 Audience 應用程式均已成功通過 Viettel Security 進行的全面滲透測試。這項嚴格的評估強調了我們對強大的安全實踐和用戶資料保護的承諾。
該測試於 2023 年 XNUMX 月進行,採用灰盒方法,模擬現實世界的攻擊場景。 Viettel 的安全專家仔細評估了我們平台的漏洞,並確定了需要改進的領域。
AhaSlides 工程團隊與 Viettel Security 合作解決了已發現的漏洞。實施的措施包括輸入資料過濾、輸出資料編碼、強大的內容安全策略 (CSP) 以及適當的回應標頭,以進一步強化平台。
AhaSlides 還投資了先進的監控工具,用於即時威脅偵測和回應。此外,我們的事件回應協定已經過完善,以確保在發生安全漏洞時採取迅速有效的行動。
安全可靠的平台
用戶可以確信他們的資料受到保護並且他們的互動體驗保持安全。透過持續的安全評估和持續改進,我們致力於為使用者建立可靠、安全的平台。
