Security
وثيقة نظرة عامة على أمان Wink
Section titled “وثيقة نظرة عامة على أمان Wink”آخر تحديث: 7 سبتمبر 2024
الإصدار 1.0
الغرض والنطاق
Section titled “الغرض والنطاق”في إطار التزامنا المستمر بالأمن وحماية بيانات المستخدمين، نُجري اختبارات اختراق منتظمة لتطبيق الويب الخاص بنا. تُوضح هذه الوثيقة منهجيات الاختبار لدينا، وتُلخص النتائج، وتُسلط الضوء على نهجنا في التحسين المستمر للأمن.
سيتم تحديث هذه الوثيقة عند إصدار تقارير جديدة أو حدوث تغييرات كبيرة.
المجالات في النطاق:
*.غمزة.سفر
*.trippay.io
تردد الاختبار والجدول الزمني
Section titled “تردد الاختبار والجدول الزمني”تُجرى اختبارات الاختراق لدينا سنويًا، مع جدولة اختبارات إضافية عند الحاجة بعد أي تحديثات جوهرية للتطبيق أو البنية التحتية. يضمن هذا الإيقاع المنتظم للاختبارات استباق التهديدات المتطورة والحفاظ على بيئة آمنة.
منهجيات الاختبار
Section titled “منهجيات الاختبار”اختبار الاختراق لدينا شامل ويغطي مجموعة واسعة من جوانب الأمان، بما في ذلك على سبيل المثال لا الحصر:
- أفضل 10 في OWASP:تستهدف اختباراتنا على وجه التحديد المخاطر الأمنية الأكثر خطورة، مثل الحقن، والمصادقة المكسورة، وهجمات نصوص المواقع المتقاطعة (XSS).
- اختبار الصندوق الأسود والصندوق الرمادي:اعتمادًا على النطاق، يستخدم فريقنا هذه المنهجيات لمحاكاة سيناريوهات الهجوم الخارجية والداخلية.
- الاختبار الآلي واليدوي:نستخدم Burp Suite Pro، وهي مجموعة أدوات رائدة لاختبار الأمان، لإجراء عمليات مسح أمني آلية، ولدعم تقنيات الاختبار اليدوي لتحديد الثغرات الأمنية المعقدة، والحصول على أفضل تغطية ممكنة. ولتحديد الثغرات الأمنية بدقة أكبر، نستخدم أدوات متخصصة، مثل SQLmap.
ملخص النتائج
Section titled “ملخص النتائج”فيما يلي ملخص رفيع المستوى لتقرير اختبار الاختراق الأخير لدينا:
- إجمالي الثغرات الأمنية التي تم تحديدها:2
- توزيع الشدة:
- حرجة: 2
- أنواع الثغرات الأمنية المكتشفة:
- نظام التحكم في الوصول مكسور
- تصميم غير آمن
لمعرفة النتائج التفصيلية، يرجى الرجوع إلى التقرير الكامل.
تصنيفات المخاطر والتأثير
Section titled “تصنيفات المخاطر والتأثير”تُصنَّف كلتا الثغرتين المكتشفتين على أنهما خطيرتان، إذ كان من الممكن أن تُخلِّفا آثارًا مالية جسيمة. سمحت الثغرة الأولى لمستخدم مُصدَّق خبيث بالسيطرة على حساب دفع Trippay لشركة أخرى. أما الثغرة الثانية، فقد أتاحت لمستخدم خبيث تعديل مبلغ الدفع المطلوب للحجز.
جهود الإصلاح والتخفيف
Section titled “جهود الإصلاح والتخفيف”لقد اتخذنا الخطوات التالية لمعالجة الثغرات الأمنية التي تم تحديدها:
- التصحيحات الفورية:تم تصحيح الثغرات الحرجة خلال 48 ساعة من اكتشافها.
- مراجعة الكود وتقويته:قام فريق التطوير بتنفيذ ضوابط أمنية إضافية بناءً على توصياتنا.
التحسين المستمر
Section titled “التحسين المستمر”يُعد اختبار الاختراق جزءًا من استراتيجيتنا الشاملة للتحسين المستمر للأمن. تُوجه نتائج كل اختبار سياساتنا الأمنية، وتؤثر على ممارسات التطوير، وتُعزز تحسينات بنيتنا الأمنية.
خبرة الفريق
Section titled “خبرة الفريق”يُجري اختبار الاختراق لدينا فريقٌ متخصصٌ يتمتع بخبرةٍ واسعةٍ في مختلف المشاريع والقطاعات. باستخدام أحدث الأدوات والأساليب، يضمن خبراؤنا اختبار تطبيقنا بدقةٍ ضد أحدث التهديدات الأمنية.
الالتزام بالأمن
Section titled “الالتزام بالأمن”نحن ملتزمون بالحفاظ على بيئة تطبيقات آمنة لمستخدمينا وأصحاب المصلحة. جهودنا المستمرة في اختبار وتحسين الأمان تُبرهن على التزامنا بالحماية من التهديدات المتطورة.
الوصول إلى التقارير والتحديثات
Section titled “الوصول إلى التقارير والتحديثات”سيتم تحديث هذه الوثيقة باستمرار مع صدور تقارير جديدة لاختبارات الاختراق. للاطلاع على التقرير الكامل، يُرجى التواصل معنا عبر البريد الإلكتروني أدناه. ستتضمن التحديثات المستقبلية الثغرات الأمنية المُكتشفة حديثًا، وجهود الإصلاح، والتعديلات على منهجيات الاختبار لدينا.
لمزيد من الاستفسارات، يرجى الاتصال بـ[email protected].