אבטחה
מסמך סקירת אבטחה של Wink
Section titled “מסמך סקירת אבטחה של Wink”עודכן לאחרונה: 7 בספטמבר 2024
גרסה 1.0
מטרה והיקף
Section titled “מטרה והיקף”כחלק מהמחויבות המתמשכת שלנו לאבטחה והגנה על נתוני המשתמשים, אנו מבצעים בדיקות חדירה תקופתיות על אפליקציית האינטרנט שלנו. מסמך זה מפרט את שיטות הבדיקה שלנו, מספק סיכום ממצאים ומדגיש את הגישה שלנו לשיפור מתמיד באבטחה.
מסמך זה יעודכן ככל שיתקבלו דוחות חדשים או כאשר יתרחשו שינויים משמעותיים.
דומיינים בתחום ההיקף:
*.wink.travel
*.trippay.io
תדירות ולוח זמנים של הבדיקות
Section titled “תדירות ולוח זמנים של הבדיקות”בדיקות החדירה שלנו מתבצעות על בסיס שנתי, עם בדיקות נוספות המתוזמנות לפי הצורך לאחר עדכונים משמעותיים באפליקציה או בתשתית. קצב בדיקות זה מבטיח שנשאר צעד אחד לפני איומים מתפתחים ונשמור על סביבה מאובטחת.
שיטות הבדיקה
Section titled “שיטות הבדיקה”בדיקות החדירה שלנו מקיפות ומכסות מגוון רחב של היבטים אבטחתיים, כולל אך לא מוגבל ל:
- OWASP Top 10: הבדיקות שלנו מתמקדות במיוחד בסיכוני האבטחה הקריטיים ביותר, כגון הזרקה, אימות שבור ו-Cross-Site Scripting (XSS).
- בדיקות Black Box ו-Grey Box: בהתאם להיקף, הצוות שלנו משתמש בשיטות אלו כדי לדמות תרחישי התקפה חיצוניים ופנימיים.
- בדיקות אוטומטיות וידניות: אנו משתמשים ב-Burp Suite Pro, כלי מוביל לבדיקות אבטחה, לביצוע סריקות אבטחה אוטומטיות ולסיוע בטכניקות בדיקה ידניות לזיהוי פגיעויות מורכבות ולהשגת כיסוי מיטבי. לזיהוי פגיעויות ספציפיות יותר, נעשה שימוש בכלים מתמחים כגון SQLmap.
סיכום ממצאים
Section titled “סיכום ממצאים”להלן סיכום ברמה גבוהה של דוח בדיקות החדירה האחרון שלנו:
- סך הפגיעויות שזוהו: 2
- התפלגות חומרה:
- קריטיות: 2
- סוגי הפגיעויות שהתגלו:
- בקרת גישה שבורה
- עיצוב לא מאובטח
לפרטים נוספים, יש לעיין בדוח המלא.
דירוג סיכונים והשפעה
Section titled “דירוג סיכונים והשפעה”שתי הפגיעויות שנמצאו מדורגות כקריטיות מאחר ששניהם יכלו לגרום להשפעות כלכליות חמורות. הראשונה אפשרה למשתמש מזיק מאומת לקבל שליטה על חשבון התשלומים של חברת Trippay אחרת. הפגיעות השנייה אפשרה למשתמש מזיק לשנות את סכום התשלום הנדרש עבור הזמנה.
מאמצי תיקון והפחתה
Section titled “מאמצי תיקון והפחתה”נקוטו הצעדים הבאים לטיפול בפגיעויות שזוהו:
- תיקונים מיידיים: הפגיעויות הקריטיות תוקנו בתוך 48 שעות מהגילוי.
- סקירת קוד והקשחת אבטחה: צוות הפיתוח יישם בקרות אבטחה נוספות בהתבסס על ההמלצות שלנו.
שיפור מתמיד
Section titled “שיפור מתמיד”בדיקות חדירה הן חלק מהאסטרטגיה הרחבה שלנו לשיפור מתמיד באבטחה. הממצאים מכל בדיקה מנחים את מדיניות האבטחה שלנו, משפיעים על שיטות הפיתוח ומניעים שיפורים בארכיטקטורת האבטחה שלנו.
מומחיות הצוות
Section titled “מומחיות הצוות”בדיקות החדירה שלנו מבוצעות על ידי איש מקצוע פנימי עם ניסיון נרחב בפרויקטים ותעשיות שונות. באמצעות כלים ושיטות מובילים, המומחה שלנו מבטיח שהאפליקציה נבדקת ביסודיות מול האיומים האבטחתיים העדכניים ביותר.
מחויבות לאבטחה
Section titled “מחויבות לאבטחה”אנו מחויבים לשמור על סביבה מאובטחת עבור המשתמשים והגורמים המעורבים. המאמצים המתמשכים שלנו בבדיקות אבטחה ושיפור מדגימים את המחויבות שלנו להגנה מפני איומים מתפתחים.
גישה לדוחות ועדכונים
Section titled “גישה לדוחות ועדכונים”מסמך זה יעודכן באופן שוטף ככל שיתפרסמו דוחות בדיקות חדירה חדשים. לקבלת הדוח המלא, אנא פנו אלינו באמצעות האימייל למטה. עדכונים עתידיים יכללו פגיעויות שזוהו לאחרונה, מאמצי תיקון והתאמות בשיטות הבדיקה שלנו.
לשאלות נוספות, אנא פנו ל[email protected].