تخطَّ إلى المحتوى
Academy

الأمان

وثيقة نظرة عامة على أمان Wink

Section titled “وثيقة نظرة عامة على أمان Wink”

آخر تحديث: 7 سبتمبر 2024

الإصدار 1.0

الغرض والنطاق

Section titled “الغرض والنطاق”

كجزء من التزامنا المستمر بالأمان وحماية بيانات المستخدمين، نقوم بإجراء اختبارات اختراق منتظمة على تطبيقنا الإلكتروني. توضح هذه الوثيقة منهجيات الاختبار الخاصة بنا، وتقدم ملخصًا للنتائج، وتسلط الضوء على نهجنا في تحسين الأمان المستمر.

سيتم تحديث هذه الوثيقة عند صدور تقارير جديدة أو عند حدوث تغييرات كبيرة.

النطاق:
*.wink.travel
*.trippay.io

تكرار وجدول الاختبارات

Section titled “تكرار وجدول الاختبارات”

تُجرى اختبارات الاختراق لدينا سنويًا، مع جدولة اختبارات إضافية حسب الحاجة بعد التحديثات الكبيرة على التطبيق أو البنية التحتية. يضمن هذا التكرار المنتظم للاختبارات بقاؤنا في مقدمة التهديدات المتطورة والحفاظ على بيئة آمنة.

منهجيات الاختبار

Section titled “منهجيات الاختبار”

اختبارات الاختراق لدينا شاملة وتغطي مجموعة واسعة من جوانب الأمان، بما في ذلك على سبيل المثال لا الحصر:

  • OWASP Top 10: تستهدف اختباراتنا بشكل خاص أخطر مخاطر الأمان، مثل الحقن، والتحقق المكسور، وهجمات البرمجة عبر المواقع (XSS).
  • اختبار الصندوق الأسود والصندوق الرمادي: اعتمادًا على النطاق، يستخدم فريقنا هذه المنهجيات لمحاكاة سيناريوهات الهجوم الخارجية والداخلية.
  • الاختبار الآلي واليدوي: نستخدم Burp Suite Pro، وهي مجموعة أدوات رائدة لاختبار الأمان، لإجراء فحوصات أمان آلية ولمساعدة تقنيات الاختبار اليدوي لتحديد الثغرات المعقدة والحصول على أفضل تغطية ممكنة. ولتحديد الثغرات بشكل أكثر تحديدًا، تُستخدم بعض الأدوات المتخصصة مثل SQLmap.

ملخص النتائج

Section titled “ملخص النتائج”

فيما يلي ملخص رفيع المستوى لأحدث تقرير اختبار اختراق لدينا:

  • إجمالي الثغرات المكتشفة: 2
  • توزيع الشدة:
    • حرجة: 2
  • أنواع الثغرات المكتشفة:
    • تحكم وصول مكسور
    • تصميم غير آمن

للحصول على نتائج مفصلة، يرجى الرجوع إلى التقرير الكامل.

تقييمات المخاطر والتأثير

Section titled “تقييمات المخاطر والتأثير”

تم تصنيف كلتا الثغرتين على أنهما حرجة نظرًا لأن كلاهما كان يمكن أن يؤدي إلى تأثيرات مالية شديدة. الأولى سمحت لمستخدم مخرب مصدق بالتحكم في حساب دفع Trippay لشركة أخرى. والثانية سمحت لمستخدم مخرب بتعديل مبلغ الدفع المطلوب للحجز.

جهود الإصلاح والتخفيف

Section titled “جهود الإصلاح والتخفيف”

اتخذنا الخطوات التالية لمعالجة الثغرات المحددة:

  • تصحيحات فورية: تم تصحيح الثغرات الحرجة خلال 48 ساعة من اكتشافها.
  • مراجعة الشفرة وتقويتها: نفذ فريق التطوير ضوابط أمان إضافية بناءً على توصياتنا.

التحسين المستمر

Section titled “التحسين المستمر”

اختبار الاختراق هو جزء من استراتيجيتنا الأوسع للتحسين المستمر للأمان. توجه نتائج كل اختبار سياسات الأمان لدينا، وتؤثر على ممارسات التطوير، وتقود التحسينات في بنية الأمان لدينا.

خبرة الفريق

Section titled “خبرة الفريق”

يتم إجراء اختبار الاختراق لدينا بواسطة محترف داخلي ذو خبرة واسعة عبر مشاريع وصناعات مختلفة. باستخدام الأدوات والأساليب الرائدة، يضمن خبيرنا اختبار تطبيقنا بدقة ضد أحدث التهديدات الأمنية.

الالتزام بالأمان

Section titled “الالتزام بالأمان”

نحن ملتزمون بالحفاظ على بيئة تطبيق آمنة لمستخدمينا وأصحاب المصلحة. تظهر جهودنا المستمرة في اختبار الأمان والتحسين التزامنا بالحماية من التهديدات المتطورة.

الوصول إلى التقرير والتحديثات

Section titled “الوصول إلى التقرير والتحديثات”

سيتم تحديث هذه الوثيقة باستمرار مع صدور تقارير اختبار اختراق جديدة. للوصول إلى التقرير الكامل، يرجى الاتصال بنا عبر البريد الإلكتروني أدناه. ستشمل التحديثات المستقبلية الثغرات المكتشفة حديثًا، وجهود الإصلاح، والتعديلات على منهجيات الاختبار.

للاستفسارات الإضافية، يرجى الاتصال بـ [email protected].