Security
Přehled zabezpečení Wink
Section titled “Přehled zabezpečení Wink”Poslední aktualizace: 7. září 2024
Verze 1.0
Účel a rozsah
Section titled “Účel a rozsah”V rámci našeho trvalého závazku k bezpečnosti a ochraně uživatelských dat provádíme pravidelné penetrační testy naší webové aplikace. Tento dokument shrnuje naše testovací metodiky, poskytuje shrnutí zjištění a zdůrazňuje náš přístup k neustálému zlepšování bezpečnosti.
Tento dokument bude aktualizován s ohledem na nové zprávy nebo významné změny.
Domény v rozsahu:
*.wink.travel*
*.trippay.io*
Frekvence a harmonogram testování
Section titled “Frekvence a harmonogram testování”Naše penetrační testy provádíme každoročně a další testy plánujeme dle potřeby po významných aktualizacích aplikace nebo infrastruktury. Tato pravidelná testovací frekvence zajišťuje, že máme náskok před vyvíjejícími se hrozbami a udržujeme bezpečné prostředí.
Metodiky testování
Section titled “Metodiky testování”Naše penetrační testování je komplexní a zahrnuje širokou škálu bezpečnostních aspektů, mimo jiné včetně:
- Top 10 OWASP:Naše testy se konkrétně zaměřují na nejkritičtější bezpečnostní rizika, jako je injection, přerušené ověřování a cross-site scripting (XSS).
- Testování černé a šedé skříňky:V závislosti na rozsahu náš tým využívá tyto metodologie k simulaci scénářů útoků jak zvenčí, tak zvenčí.
- Automatizované a manuální testování:Používáme Burp Suite Pro, přední sadu nástrojů pro bezpečnostní testování, k provádění automatizovaných bezpečnostních skenů a na podporu manuálních testovacích technik k identifikaci složitých zranitelností a získání co nejlepšího pokrytí. Pro přesnější identifikaci zranitelností používáme některé specializované nástroje, např. SQLmap.
Shrnutí zjištění
Section titled “Shrnutí zjištění”Následuje stručné shrnutí naší nejnovější zprávy o penetračním testování:
- Celkový počet identifikovaných zranitelností:2
- Rozložení závažnosti:
- Kritický: 2
- Typy zjištěných zranitelností:
- Nefunkční řízení přístupu
- Nejistý design
Podrobná zjištění naleznete v celé zprávě.
Hodnocení rizik a dopad
Section titled “Hodnocení rizik a dopad”Obě nalezené zranitelnosti jsou hodnoceny jako kritické, protože obě mohly mít vážné finanční dopady. První z nich umožnila ověřenému uživateli se zlými úmysly získat kontrolu nad platebním účtem Trippay jiné společnosti. Druhá zranitelnost umožnila uživateli se zlými úmysly upravit výši platby požadované pro rezervaci.
Sanační a zmírňující opatření
Section titled “Sanační a zmírňující opatření”K řešení zjištěných zranitelností jsme podnikli následující kroky:
- Okamžité záplaty:Kritické zranitelnosti byly opraveny do 48 hodin od jejich objevení.
- Kontrola a zpevnění kódu:Vývojový tým implementoval dodatečné bezpečnostní kontroly na základě našich doporučení.
Neustálé zlepšování
Section titled “Neustálé zlepšování”Penetrační testování je součástí naší širší strategie pro neustálé zlepšování bezpečnosti. Zjištění z každého testu usměrňují naše bezpečnostní zásady, ovlivňují vývojové postupy a vedou k vylepšením naší bezpečnostní architektury.
Odbornost týmu
Section titled “Odbornost týmu”Naše penetrační testování provádí náš interní odborník s rozsáhlými zkušenostmi v různých projektech a odvětvích. Pomocí předních nástrojů a metod naši experti zajišťují, aby naše aplikace byla důkladně otestována na nejnovější bezpečnostní hrozby.
Závazek k bezpečnosti
Section titled “Závazek k bezpečnosti”Záleží nám na udržování bezpečného aplikačního prostředí pro naše uživatele a zúčastněné strany. Naše neustálé úsilí v oblasti testování a vylepšování zabezpečení dokazuje náš závazek chránit před neustále se vyvíjejícími hrozbami.
Přístup k přehledům a aktualizace
Section titled “Přístup k přehledům a aktualizace”Tento dokument bude průběžně aktualizován s vydáváním nových zpráv o penetračních testech. Chcete-li získat přístup k celé zprávě, kontaktujte nás prosím prostřednictvím níže uvedeného e-mailu. Budoucí aktualizace budou zahrnovat nově identifikované zranitelnosti, opatření k nápravě a úpravy našich testovacích metodik.
V případě dalších dotazů kontaktujte prosím [email protected].