Skip to content
Academy

Ασφάλεια

Έγγραφο Επισκόπησης Ασφάλειας Wink

Section titled “Έγγραφο Επισκόπησης Ασφάλειας Wink”

Τελευταία ενημέρωση: 7 Σεπτεμβρίου 2024

Έκδοση 1.0

Σκοπός και Πεδίο Εφαρμογής

Section titled “Σκοπός και Πεδίο Εφαρμογής”

Στο πλαίσιο της συνεχιζόμενης δέσμευσής μας για ασφάλεια και προστασία των δεδομένων των χρηστών, πραγματοποιούμε τακτικές δοκιμές διείσδυσης στην web εφαρμογή μας. Αυτό το έγγραφο περιγράφει τις μεθοδολογίες δοκιμών μας, παρέχει μια σύνοψη των ευρημάτων και αναδεικνύει την προσέγγισή μας για συνεχή βελτίωση της ασφάλειας.

Το έγγραφο θα ενημερώνεται καθώς παράγονται νέες αναφορές ή όταν συμβαίνουν σημαντικές αλλαγές.

Περιοχές εφαρμογής:
*.wink.travel
*.trippay.io

Συχνότητα και Πρόγραμμα Δοκιμών

Section titled “Συχνότητα και Πρόγραμμα Δοκιμών”

Οι δοκιμές διείσδυσης πραγματοποιούνται ετησίως, με επιπλέον δοκιμές προγραμματισμένες όποτε χρειάζεται μετά από σημαντικές ενημερώσεις της εφαρμογής ή της υποδομής. Αυτή η τακτική συχνότητα δοκιμών διασφαλίζει ότι παραμένουμε μπροστά από τις εξελισσόμενες απειλές και διατηρούμε ένα ασφαλές περιβάλλον.

Μεθοδολογίες Δοκιμών

Section titled “Μεθοδολογίες Δοκιμών”

Οι δοκιμές διείσδυσης μας είναι ολοκληρωμένες και καλύπτουν ένα ευρύ φάσμα πτυχών ασφάλειας, συμπεριλαμβανομένων αλλά όχι περιοριστικά σε:

  • OWASP Top 10: Οι δοκιμές μας στοχεύουν συγκεκριμένα τους πιο κρίσιμους κινδύνους ασφάλειας, όπως Injection, Broken Authentication και Cross-Site Scripting (XSS).
  • Black Box και Grey Box Testing: Ανάλογα με το πεδίο εφαρμογής, η ομάδα μας χρησιμοποιεί αυτές τις μεθοδολογίες για να προσομοιώσει τόσο εξωτερικά όσο και εσωτερικά σενάρια επίθεσης.
  • Αυτοματοποιημένες και Χειροκίνητες Δοκιμές: Χρησιμοποιούμε το Burp Suite Pro, ένα κορυφαίο εργαλείο δοκιμών ασφάλειας, για να διεξάγουμε αυτοματοποιημένες σαρώσεις ασφαλείας και να υποστηρίξουμε χειροκίνητες τεχνικές δοκιμών για την αναγνώριση σύνθετων ευπαθειών και την καλύτερη δυνατή κάλυψη. Για πιο συγκεκριμένη αναγνώριση ευπαθειών, χρησιμοποιούνται και εξειδικευμένα εργαλεία όπως το SQLmap.

Σύνοψη Ευρημάτων

Section titled “Σύνοψη Ευρημάτων”

Ακολουθεί μια υψηλού επιπέδου σύνοψη της πιο πρόσφατης αναφοράς δοκιμών διείσδυσης:

  • Συνολικές Ευπάθειες που Εντοπίστηκαν: 2
  • Κατανομή Βαρύτητας:
    • Κρίσιμες: 2
  • Τύποι Ευπαθειών που Εντοπίστηκαν:
    • Broken Access Control
    • Ασφαλής Σχεδίαση

Για λεπτομερή ευρήματα, παρακαλούμε ανατρέξτε στην πλήρη αναφορά.

Αξιολογήσεις Κινδύνου και Επιπτώσεις

Section titled “Αξιολογήσεις Κινδύνου και Επιπτώσεις”

Και οι δύο ευπάθειες που βρέθηκαν αξιολογήθηκαν ως κρίσιμες, καθώς και οι δύο θα μπορούσαν να είχαν σοβαρές οικονομικές επιπτώσεις. Η πρώτη επέτρεπε σε έναν κακόβουλο πιστοποιημένο χρήστη να αποκτήσει έλεγχο του λογαριασμού πληρωμών Trippay μιας άλλης εταιρείας. Η δεύτερη ευπάθεια επέτρεπε σε έναν κακόβουλο χρήστη να τροποποιήσει το ποσό πληρωμής που απαιτείται για μια κράτηση.

Ενέργειες Επιδιόρθωσης και Μείωσης Κινδύνου

Section titled “Ενέργειες Επιδιόρθωσης και Μείωσης Κινδύνου”

Έχουμε λάβει τα ακόλουθα μέτρα για την αντιμετώπιση των εντοπισμένων ευπαθειών:

  • Άμεσες Επιδιορθώσεις: Οι κρίσιμες ευπάθειες επιδιορθώθηκαν εντός 48 ωρών από την ανακάλυψή τους.
  • Ανασκόπηση Κώδικα και Ενίσχυση: Η ομάδα ανάπτυξης έχει εφαρμόσει επιπλέον ελέγχους ασφαλείας βάσει των συστάσεών μας.

Συνεχής Βελτίωση

Section titled “Συνεχής Βελτίωση”

Οι δοκιμές διείσδυσης αποτελούν μέρος της ευρύτερης στρατηγικής μας για συνεχή βελτίωση της ασφάλειας. Τα ευρήματα από κάθε δοκιμή καθοδηγούν τις πολιτικές ασφαλείας μας, επηρεάζουν τις πρακτικές ανάπτυξης και προωθούν βελτιώσεις στην αρχιτεκτονική ασφάλειας.

Εμπειρογνωμοσύνη Ομάδας

Section titled “Εμπειρογνωμοσύνη Ομάδας”

Οι δοκιμές διείσδυσης πραγματοποιούνται από έναν εσωτερικό επαγγελματία με εκτενή εμπειρία σε διάφορα έργα και κλάδους. Χρησιμοποιώντας κορυφαία εργαλεία και μεθόδους, ο ειδικός μας διασφαλίζει ότι η εφαρμογή μας δοκιμάζεται διεξοδικά έναντι των πιο πρόσφατων απειλών ασφάλειας.

Δέσμευση για Ασφάλεια

Section titled “Δέσμευση για Ασφάλεια”

Δεσμευόμαστε να διατηρούμε ένα ασφαλές περιβάλλον εφαρμογής για τους χρήστες και τους ενδιαφερόμενους. Οι συνεχιζόμενες προσπάθειές μας στις δοκιμές και τη βελτίωση της ασφάλειας αποδεικνύουν τη δέσμευσή μας για προστασία από τις εξελισσόμενες απειλές.

Πρόσβαση στην Αναφορά και Ενημερώσεις

Section titled “Πρόσβαση στην Αναφορά και Ενημερώσεις”

Αυτό το έγγραφο θα ενημερώνεται συνεχώς καθώς εκδίδονται νέες αναφορές δοκιμών διείσδυσης. Για να αποκτήσετε πρόσβαση στην πλήρη αναφορά, παρακαλούμε επικοινωνήστε μαζί μας μέσω του παρακάτω email. Μελλοντικές ενημερώσεις θα περιλαμβάνουν νέες ευπάθειες, ενέργειες επιδιόρθωσης και προσαρμογές στις μεθοδολογίες δοκιμών μας.

Για περαιτέρω ερωτήσεις, παρακαλούμε επικοινωνήστε στο [email protected].