Security
Документ за преглед на сигурността на Wink
Section titled “Документ за преглед на сигурността на Wink”Последна актуализация: 7 септември 2024 г.
Версия 1.0
Цел и обхват
Section titled “Цел и обхват”Като част от нашия постоянен ангажимент за сигурност и защита на потребителските данни, ние провеждаме редовни тестове за проникване на нашето уеб приложение. Този документ очертава нашите методологии за тестване, предоставя обобщение на констатациите и подчертава нашия подход към непрекъснатото подобряване на сигурността.
Този документ ще бъде актуализиран с изготвянето на нови доклади или при настъпване на значителни промени.
Домейни в обхвата:
*.wink.travel*
*.trippay.io
Честота и график на тестовете
Section titled “Честота и график на тестовете”Нашите тестове за проникване се провеждат ежегодно, като допълнителни тестове се планират при необходимост след значителни актуализации на приложението или инфраструктурата. Тази редовна честота на тестване гарантира, че сме в крак с развиващите се заплахи и поддържаме сигурна среда.
Методологии за тестване
Section titled “Методологии за тестване”Нашите тестове за проникване са всеобхватни и обхващат широк спектър от аспекти на сигурността, включително, но не само:
- Топ 10 на OWASP:Нашите тестове са насочени специално към най-критичните рискове за сигурността, като например инжектиране на вируси, неработещо удостоверяване и междусайтово скриптиране (XSS).
- Тестване на черна кутия и сива кутия:В зависимост от обхвата, нашият екип използва тези методологии, за да симулира както външни, така и вътрешни сценарии за атака.
- Автоматизирано и ръчно тестване:Използваме Burp Suite Pro, водещ набор от инструменти за тестване на сигурността, за да провеждаме автоматизирани сканирания за сигурност и да подпомагаме техниките за ръчно тестване, за да идентифицираме сложни уязвимости и да получим най-доброто възможно покритие. За по-конкретно идентифициране на уязвимости се използват някои специализирани инструменти, например SQLmap.
Обобщение на констатациите
Section titled “Обобщение на констатациите”Следва обобщение на най-скорошния ни доклад за тестове за проникване:
- Общо идентифицирани уязвимости:2
- Разпределение на тежестта:
- Критично: 2
- Видове открити уязвимости:
- Счупен контрол на достъпа
- Несигурен дизайн
За подробни констатации, моля, вижте пълния доклад.
Оценки на риска и въздействие
Section titled “Оценки на риска и въздействие”И двете открити уязвимости са оценени като критични, тъй като биха могли да имат сериозни финансови последици. Първата е позволила на злонамерен удостоверен потребител да получи контрол над платежната сметка Trippay на друга компания. Втората уязвимост е позволила на злонамерен потребител да промени размера на плащането, необходимо за резервация.
Усилия за отстраняване и смекчаване на последиците
Section titled “Усилия за отстраняване и смекчаване на последиците”Предприехме следните стъпки за отстраняване на идентифицираните уязвимости:
- Незабавни корекции:Критичните уязвимости са отстранени в рамките на 48 часа след откриването им.
- Преглед на кода и подобряване на защитата:Екипът за разработка е внедрил допълнителни контроли за сигурност въз основа на нашите препоръки.
Непрекъснато усъвършенстване
Section titled “Непрекъснато усъвършенстване”Тестването за проникване е част от нашата по-широка стратегия за непрекъснато подобряване на сигурността. Резултатите от всеки тест насочват нашите политики за сигурност, влияят върху практиките за разработка и водят до подобрения в нашата архитектура за сигурност.
Експертиза на екипа
Section titled “Експертиза на екипа”Нашите тестове за проникване се провеждат от вътрешен професионалист с богат опит в различни проекти и индустрии. Използвайки водещи инструменти и методи, нашият експерт гарантира, че нашето приложение е щателно тествано срещу най-новите заплахи за сигурността.
Ангажимент към сигурността
Section titled “Ангажимент към сигурността”Ние сме отдадени на поддържането на сигурна среда за приложения за нашите потребители и заинтересовани страни. Нашите непрекъснати усилия за тестване и подобряване на сигурността демонстрират нашия ангажимент за защита от променящи се заплахи.
Достъп до отчети и актуализации
Section titled “Достъп до отчети и актуализации”Този документ ще бъде актуализиран непрекъснато с издаването на нови доклади от тестове за проникване. За да получите достъп до пълния доклад, моля, свържете се с нас чрез имейла по-долу. Бъдещите актуализации ще включват новооткрити уязвимости, усилия за отстраняване на проблеми и корекции в нашите методологии за тестване.
За допълнителни запитвания, моля, свържете се с [email protected].