Security
מסמך סקירת אבטחה של Wink
Section titled “מסמך סקירת אבטחה של Wink”עודכן לאחרונה: 7 בספטמבר, 2024
גרסה 1.0
מטרה והיקף
Section titled “מטרה והיקף”כחלק ממחויבותנו המתמשכת לאבטחה ולהגנה על נתוני משתמשים, אנו עורכים בדיקות חדירה באופן קבוע באפליקציית האינטרנט שלנו. מסמך זה מתאר את מתודולוגיות הבדיקה שלנו, מספק סיכום של הממצאים ומדגיש את גישתנו לשיפור מתמיד באבטחה.
מסמך זה יעודכן ככל שיופקו דוחות חדשים או כאשר יחולו שינויים משמעותיים.
דומיינים בהיקף:
*.wink.travel
*.trippay.io
תדירות בדיקות ולוח זמנים
Section titled “תדירות בדיקות ולוח זמנים”מבחני החדירה שלנו נערכים על בסיס שנתי, כאשר בדיקות נוספות מתוכננות לפי הצורך לאחר עדכונים משמעותיים באפליקציה או בתשתית. קצב בדיקות קבוע זה מבטיח שנשאר צעד אחד קדימה בכל הנוגע לאיומים מתפתחים ונשמור על סביבה מאובטחת.
מתודולוגיות בדיקה
Section titled “מתודולוגיות בדיקה”בדיקות החדירה שלנו מקיפות ומכסות מגוון רחב של היבטי אבטחה, כולל אך לא רק:
- עשרת המובילים של OWASP:הבדיקות שלנו מכוונות ספציפית לסיכוני האבטחה הקריטיים ביותר, כגון הזרקה (Injection), אימות פגום (Bunt Authentication) ו-Cross-Site Scripting (XSS).
- בדיקות קופסה שחורה וקופסה אפורה:בהתאם להיקף, הצוות שלנו משתמש במתודולוגיות אלו כדי לדמות תרחישי תקיפה חיצוניים ופנימיים כאחד.
- בדיקות אוטומטיות וידניות:אנו משתמשים ב-Burp Suite Pro, ערכת כלי בדיקות אבטחה מובילה, כדי לבצע סריקות אבטחה אוטומטיות ולסייע בטכניקות בדיקה ידניות כדי לזהות פגיעויות מורכבות ולקבל את הכיסוי הטוב ביותר שאנו יכולים. לזיהוי פגיעויות ספציפי יותר, נעשה שימוש בכלים ייעודיים, למשל SQLmap.
סיכום הממצאים
Section titled “סיכום הממצאים”להלן סיכום מקיף של דוח בדיקות החדירה האחרון שלנו:
- סך כל הפגיעויות שזוהו:2
- התפלגות חומרה:
- קריטי: 2
- סוגי הפגיעויות שזוהו:
- בקרת גישה שבורה
- עיצוב לא מאובטח
לממצאים מפורטים, אנא עיינו בדוח המלא.
דירוגי סיכון והשפעה
Section titled “דירוגי סיכון והשפעה”שתי הפגיעויות שנמצאו מדורגות כקריטיות מכיוון שלשתיהן היו עלולות להיות השלכות כלכליות חמורות. הראשונה אפשרה למשתמש זדוני שאושר על ידי ארגון לקבל שליטה על חשבון התשלום Trippay של חברה אחרת. הפגיעות השנייה אפשרה למשתמש זדוני לשנות את סכום התשלום הנדרש עבור הזמנה.
מאמצי תיקון והפחתת הנזקים
Section titled “מאמצי תיקון והפחתת הנזקים”נקטנו בצעדים הבאים כדי לטפל בנקודות התורפה שזוהו:
- תיקונים מיידיים:הפגיעויות הקריטיות תוקנו תוך 48 שעות ממועד הגילוי.
- סקירת קוד והקשחתו:צוות הפיתוח יישם בקרות אבטחה נוספות בהתבסס על המלצותינו.
שיפור מתמיד
Section titled “שיפור מתמיד”בדיקות חדירה הן חלק מהאסטרטגיה הרחבה יותר שלנו לשיפור מתמיד באבטחה. הממצאים מכל בדיקה מנחים את מדיניות האבטחה שלנו, משפיעים על נוהלי פיתוח ומניעים שיפורים בארכיטקטורת האבטחה שלנו.
מומחיות צוות
Section titled “מומחיות צוות”בדיקות החדירה שלנו נערכות על ידי איש מקצוע פנימי בעל ניסיון רב בפרויקטים ותעשיות שונות. באמצעות כלים ושיטות מובילים, המומחה שלנו מבטיח שהאפליקציה שלנו נבדקת ביסודיות כנגד איומי האבטחה העדכניים ביותר.
מחויבות לביטחון
Section titled “מחויבות לביטחון”אנו מחויבים לשמירה על סביבת יישומים מאובטחת עבור המשתמשים ובעלי העניין שלנו. המאמצים המתמשכים שלנו בבדיקות ושיפור אבטחה מדגימים את מחויבותנו להגנה מפני איומים מתפתחים.
גישה לדוחות ועדכונים
Section titled “גישה לדוחות ועדכונים”מסמך זה יעודכן באופן שוטף ככל שיוצאו דוחות חדשים של בדיקות חדירה. כדי לגשת לדוח המלא, אנא צרו עמנו קשר באמצעות הדוא”ל שלהלן. עדכונים עתידיים יכללו פגיעויות חדשות שזוהו, מאמצי תיקון והתאמות במתודולוגיות הבדיקה שלנו.
לשאלות נוספות, אנא צרו קשר עם [email protected].