Security
Dokument om oversigt over Wink-sikkerhed
Section titled “Dokument om oversigt over Wink-sikkerhed”Sidst opdateret: 7. september 2024
Version 1.0
Formål og omfang
Section titled “Formål og omfang”Som en del af vores løbende engagement i sikkerhed og beskyttelse af brugerdata udfører vi regelmæssige penetrationstests på vores webapplikation. Dette dokument beskriver vores testmetoder, giver et resumé af resultaterne og fremhæver vores tilgang til løbende sikkerhedsforbedring.
Dette dokument vil blive opdateret, når nye rapporter udarbejdes, eller når der sker væsentlige ændringer.
Domæner inden for rækkevidde:
*.blink.rejse
*.trippay.io
Testfrekvens og tidsplan
Section titled “Testfrekvens og tidsplan”Vores penetrationstest udføres årligt, og yderligere test planlægges efter behov efter væsentlige opdateringer af applikationen eller infrastrukturen. Denne regelmæssige testfrekvens sikrer, at vi er på forkant med udviklende trusler og opretholder et sikkert miljø.
Testmetoder
Section titled “Testmetoder”Vores penetrationstest er omfattende og dækker en bred vifte af sikkerhedsaspekter, herunder, men ikke begrænset til:
- OWASP Top 10:Vores tests er specifikt rettet mod de mest kritiske sikkerhedsrisici, såsom injektion, ødelagt godkendelse og Cross-Site Scripting (XSS).
- Test af sorte bokse og grå bokse:Afhængigt af omfanget bruger vores team disse metoder til at simulere både eksterne og interne angrebsscenarier.
- Automatiseret og manuel testning:Vi bruger Burp Suite Pro, et førende værktøjssæt til sikkerhedstestning, til at udføre automatiserede sikkerhedsscanninger og til at understøtte manuelle testteknikker for at identificere komplekse sårbarheder og få den bedst mulige dækning. Til mere specifik identifikation af sårbarheder anvendes nogle specialiserede værktøjer, f.eks. SQLmap.
Resumé af resultater
Section titled “Resumé af resultater”Følgende er et overordnet resumé af vores seneste penetrationstestrapport:
- Samlet antal identificerede sårbarheder:2
- Sværhedsgradsfordeling:
- Kritisk: 2
- Typer af sårbarheder opdaget:
- Defekt adgangskontrol
- Usikkert design
For detaljerede resultater henvises til den fulde rapport.
Risikovurderinger og påvirkning
Section titled “Risikovurderinger og påvirkning”Begge de fundne sårbarheder er vurderet som kritiske, da de begge kunne have haft alvorlige økonomiske konsekvenser. Den første tillod en ondsindet, autentificeret bruger at få kontrol over en anden virksomheds Trippay-betalingskonto. Den anden sårbarhed tillod en ondsindet bruger at ændre det beløb, der kræves for en booking.
Afhjælpnings- og afbødende indsatser
Section titled “Afhjælpnings- og afbødende indsatser”Vi har taget følgende skridt for at håndtere de identificerede sårbarheder:
- Øjeblikkelige programrettelser:De kritiske sårbarheder er blevet rettet inden for 48 timer efter opdagelsen.
- Kodegennemgang og -hærdning:Udviklingsteamet har implementeret yderligere sikkerhedskontroller baseret på vores anbefalinger.
Løbende forbedring
Section titled “Løbende forbedring”Penetrationstest er en del af vores bredere strategi for løbende sikkerhedsforbedring. Resultaterne fra hver test styrer vores sikkerhedspolitikker, påvirker udviklingspraksis og driver forbedringer i vores sikkerhedsarkitektur.
Teamekspertise
Section titled “Teamekspertise”Vores penetrationstest udføres af en intern professionel med omfattende erfaring på tværs af forskellige projekter og brancher. Ved hjælp af førende værktøjer og metoder sikrer vores ekspert, at vores applikation er grundigt testet mod de nyeste sikkerhedstrusler.
Forpligtelse til sikkerhed
Section titled “Forpligtelse til sikkerhed”Vi er dedikerede til at opretholde et sikkert applikationsmiljø for vores brugere og interessenter. Vores løbende indsats for sikkerhedstestning og -forbedring demonstrerer vores engagement i at beskytte mod nye trusler.
Rapportadgang og opdateringer
Section titled “Rapportadgang og opdateringer”Dette dokument vil løbende blive opdateret, efterhånden som nye penetrationstestrapporter udstedes. For at få adgang til den fulde rapport, bedes du kontakte os via nedenstående e-mail. Fremtidige opdateringer vil omfatte nyligt identificerede sårbarheder, afhjælpningsindsatser og justeringer af vores testmetoder.
For yderligere spørgsmål, kontakt venligst [email protected].