Security
Έγγραφο Επισκόπησης Ασφάλειας Wink
Section titled “Έγγραφο Επισκόπησης Ασφάλειας Wink”Τελευταία ενημέρωση: 7 Σεπτεμβρίου 2024
Έκδοση 1.0
Σκοπός και Πεδίο Εφαρμογής
Section titled “Σκοπός και Πεδίο Εφαρμογής”Στο πλαίσιο της συνεχούς δέσμευσής μας για ασφάλεια και προστασία των δεδομένων χρηστών, διεξάγουμε τακτικές δοκιμές διείσδυσης στην εφαρμογή ιστού μας. Αυτό το έγγραφο περιγράφει τις μεθοδολογίες δοκιμών μας, παρέχει μια σύνοψη των ευρημάτων και επισημαίνει την προσέγγισή μας για συνεχή βελτίωση της ασφάλειας.
Το παρόν έγγραφο θα ενημερώνεται καθώς παράγονται νέες αναφορές ή όταν προκύπτουν σημαντικές αλλαγές.
Τομείς στο πεδίο εφαρμογής:
*.wink.travel
*.trippay.io
Συχνότητα και Πρόγραμμα Εξετάσεων
Section titled “Συχνότητα και Πρόγραμμα Εξετάσεων”Οι δοκιμές διείσδυσης διεξάγονται σε ετήσια βάση, με πρόσθετες δοκιμές να προγραμματίζονται ανάλογα με τις ανάγκες μετά από σημαντικές ενημερώσεις στην εφαρμογή ή την υποδομή. Αυτός ο τακτικός ρυθμός δοκιμών διασφαλίζει ότι παραμένουμε ένα βήμα μπροστά από τις εξελισσόμενες απειλές και διατηρούμε ένα ασφαλές περιβάλλον.
Μεθοδολογίες Δοκιμών
Section titled “Μεθοδολογίες Δοκιμών”Οι δοκιμές διείσδυσης που κάνουμε είναι ολοκληρωμένες και καλύπτουν ένα ευρύ φάσμα πτυχών ασφάλειας, όπως ενδεικτικά:
- OWASP Κορυφαία 10:Οι δοκιμές μας στοχεύουν συγκεκριμένα στους πιο κρίσιμους κινδύνους ασφαλείας, όπως η ένεση (Injection), ο διακοπτόμενος έλεγχος ταυτότητας (Breaked Authentication) και το Cross-Site Scripting (XSS).
- Δοκιμές μαύρου και γκρι κουτιού:Ανάλογα με το πεδίο εφαρμογής, η ομάδα μας χρησιμοποιεί αυτές τις μεθοδολογίες για την προσομοίωση σεναρίων εξωτερικής και εσωτερικής επίθεσης.
- Αυτοματοποιημένες και χειροκίνητες δοκιμές:Χρησιμοποιούμε το Burp Suite Pro, ένα κορυφαίο σύνολο εργαλείων δοκιμών ασφαλείας, για τη διεξαγωγή αυτοματοποιημένων σαρώσεων ασφαλείας και για την υποβοήθηση τεχνικών χειροκίνητων δοκιμών, ώστε να εντοπίζουμε πολύπλοκα τρωτά σημεία και να επιτυγχάνουμε την καλύτερη δυνατή κάλυψη. Για πιο συγκεκριμένο εντοπισμό τρωτών σημείων, χρησιμοποιούνται ορισμένα εξειδικευμένα εργαλεία, π.χ. SQLmap.
Σύνοψη Ευρημάτων
Section titled “Σύνοψη Ευρημάτων”Ακολουθεί μια σύνοψη υψηλού επιπέδου της πιο πρόσφατης αναφοράς μας για τις δοκιμές διείσδυσης:
- Σύνολο ευπαθειών που εντοπίστηκαν:2
- Κατανομή σοβαρότητας:
- Κρίσιμο: 2
- Τύποι ευπαθειών που εντοπίστηκαν:
- Χαλασμένος έλεγχος πρόσβασης
- Ανασφαλής Σχεδιασμός
Για λεπτομερή ευρήματα, ανατρέξτε στην πλήρη έκθεση.
Αξιολογήσεις Κινδύνου και Αντίκτυπος
Section titled “Αξιολογήσεις Κινδύνου και Αντίκτυπος”Και τα δύο ευάλωτα σημεία που εντοπίστηκαν αξιολογούνται ως κρίσιμα, καθώς και τα δύο θα μπορούσαν να έχουν σοβαρές οικονομικές επιπτώσεις. Το πρώτο επέτρεψε σε έναν κακόβουλο χρήστη με έλεγχο ταυτότητας να αποκτήσει τον έλεγχο του λογαριασμού πληρωμών Trippay μιας άλλης εταιρείας. Το δεύτερο ευάλωτο σημείο επέτρεψε σε έναν κακόβουλο χρήστη να τροποποιήσει το ποσό πληρωμής που απαιτείται για μια κράτηση.
Προσπάθειες αποκατάστασης και μετριασμού
Section titled “Προσπάθειες αποκατάστασης και μετριασμού”Έχουμε λάβει τα ακόλουθα μέτρα για την αντιμετώπιση των εντοπισμένων ευπαθειών:
- Άμεσες ενημερώσεις κώδικα:Τα κρίσιμα τρωτά σημεία έχουν διορθωθεί εντός 48 ωρών από την ανακάλυψη.
- Αναθεώρηση και Ενίσχυση Κώδικα:Η ομάδα ανάπτυξης έχει εφαρμόσει πρόσθετους ελέγχους ασφαλείας με βάση τις συστάσεις μας.
Συνεχής Βελτίωση
Section titled “Συνεχής Βελτίωση”Οι δοκιμές διείσδυσης αποτελούν μέρος της ευρύτερης στρατηγικής μας για συνεχή βελτίωση της ασφάλειας. Τα ευρήματα από κάθε δοκιμή καθοδηγούν τις πολιτικές ασφαλείας μας, επηρεάζουν τις πρακτικές ανάπτυξης και οδηγούν σε βελτιώσεις στην αρχιτεκτονική ασφαλείας μας.
Ομαδική Εμπειρογνωμοσύνη
Section titled “Ομαδική Εμπειρογνωμοσύνη”Οι δοκιμές διείσδυσης που διενεργούμε διεξάγονται από εσωτερικό επαγγελματία με εκτεταμένη εμπειρία σε διάφορα έργα και κλάδους. Χρησιμοποιώντας κορυφαία εργαλεία και μεθόδους, ο ειδικός μας διασφαλίζει ότι η εφαρμογή μας δοκιμάζεται διεξοδικά έναντι των πιο πρόσφατων απειλών ασφαλείας.
Δέσμευση για την Ασφάλεια
Section titled “Δέσμευση για την Ασφάλεια”Είμαστε αφοσιωμένοι στη διατήρηση ενός ασφαλούς περιβάλλοντος εφαρμογών για τους χρήστες και τα ενδιαφερόμενα μέρη μας. Οι συνεχείς προσπάθειές μας στον έλεγχο και τη βελτίωση της ασφάλειας καταδεικνύουν τη δέσμευσή μας για προστασία από εξελισσόμενες απειλές.
Πρόσβαση σε αναφορές και ενημερώσεις
Section titled “Πρόσβαση σε αναφορές και ενημερώσεις”Αυτό το έγγραφο θα ενημερώνεται συνεχώς καθώς εκδίδονται νέες αναφορές δοκιμών διείσδυσης. Για να αποκτήσετε πρόσβαση στην πλήρη αναφορά, επικοινωνήστε μαζί μας μέσω του παρακάτω email. Οι μελλοντικές ενημερώσεις θα περιλαμβάνουν πρόσφατα εντοπισμένες ευπάθειες, προσπάθειες αποκατάστασης και προσαρμογές στις μεθοδολογίες δοκιμών μας.
Για περισσότερες πληροφορίες, επικοινωνήστε με το [email protected].