Security

विंक सुरक्षा अवलोकन दस्तावेज़

अंतिम अपडेट: 7 सितंबर, 2024

संस्करण 1.0

उद्देश्य और दायरा

सुरक्षा और उपयोगकर्ता डेटा की सुरक्षा के प्रति हमारी निरंतर प्रतिबद्धता के हिस्से के रूप में, हम अपने वेब एप्लिकेशन पर नियमित रूप से पैनेट्रेशन परीक्षण करते हैं। यह दस्तावेज़ हमारी परीक्षण पद्धतियों की रूपरेखा प्रस्तुत करता है, निष्कर्षों का सारांश प्रदान करता है, और निरंतर सुरक्षा सुधार के लिए हमारे दृष्टिकोण पर प्रकाश डालता है।

जैसे ही नई रिपोर्टें तैयार होंगी या महत्वपूर्ण परिवर्तन होंगे, यह दस्तावेज़ अद्यतन कर दिया जाएगा।

कार्यक्षेत्र में आने वाले डोमेन:
*.विंक.यात्रा
*.ट्रिपपे.io

परीक्षण आवृत्ति और अनुसूची

हमारे प्रवेश परीक्षण वार्षिक आधार पर किए जाते हैं, तथा एप्लिकेशन या बुनियादी ढांचे में महत्वपूर्ण अपडेट के बाद आवश्यकतानुसार अतिरिक्त परीक्षण निर्धारित किए जाते हैं। यह नियमित परीक्षण ताल सुनिश्चित करता है कि हम उभरते खतरों से आगे रहें और सुरक्षित वातावरण बनाए रखें।

परीक्षण पद्धतियाँ

हमारा प्रवेश परीक्षण व्यापक है और इसमें सुरक्षा पहलुओं की एक विस्तृत श्रृंखला शामिल है, जिसमें निम्नलिखित शामिल हैं, परंतु इन्हीं तक सीमित नहीं हैं:

• OWASP शीर्ष 10:हमारे परीक्षण विशेष रूप से सबसे गंभीर सुरक्षा जोखिमों को लक्षित करते हैं, जैसे इंजेक्शन, टूटा हुआ प्रमाणीकरण और क्रॉस-साइट स्क्रिप्टिंग (XSS)।
• ब्लैक बॉक्स और ग्रे बॉक्स परीक्षण:दायरे के आधार पर, हमारी टीम बाहरी और आंतरिक दोनों हमले परिदृश्यों का अनुकरण करने के लिए इन पद्धतियों का उपयोग करती है।
• स्वचालित और मैन्युअल परीक्षण:हम स्वचालित सुरक्षा स्कैन करने और जटिल कमजोरियों की पहचान करने और सर्वोत्तम कवरेज प्राप्त करने के लिए मैन्युअल परीक्षण तकनीकों की सहायता के लिए अग्रणी सुरक्षा परीक्षण टूलसेट, बर्प सूट प्रो का उपयोग करते हैं। अधिक विशिष्ट भेद्यता पहचान के लिए, कुछ विशेष उपकरणों का उपयोग किया जाता है जैसे कि SQLmap।

निष्कर्षों का सारांश

निम्नलिखित हमारी नवीनतम प्रवेश परीक्षण रिपोर्ट का उच्च-स्तरीय सारांश है:

• कुल पहचानी गई कमजोरियाँ:2
• गंभीरता वितरण:
  • गंभीर: 2
• पाई गई कमजोरियों के प्रकार:
  • टूटा हुआ एक्सेस नियंत्रण
  • असुरक्षित डिज़ाइन

विस्तृत निष्कर्षों के लिए कृपया पूरी रिपोर्ट देखें।

जोखिम रेटिंग और प्रभाव

दोनों ही कमज़ोरियों को गंभीर माना गया है क्योंकि दोनों ही कमज़ोरियों के गंभीर वित्तीय प्रभाव हो सकते थे। पहली कमज़ोरी ने दुर्भावनापूर्ण प्रमाणित उपयोगकर्ता को किसी दूसरी कंपनी के ट्रिपपे भुगतान खाते पर नियंत्रण पाने की अनुमति दी। दूसरी कमज़ोरी ने दुर्भावनापूर्ण उपयोगकर्ता को बुकिंग के लिए आवश्यक भुगतान की राशि को संशोधित करने की अनुमति दी।

उपचार और शमन प्रयास

हमने पहचानी गई कमजोरियों को दूर करने के लिए निम्नलिखित कदम उठाए हैं:

• तत्काल पैच:गंभीर कमजोरियों का पता चलने के 48 घंटे के भीतर उन्हें ठीक कर दिया गया।
• कोड समीक्षा और कठोरता:विकास टीम ने हमारी सिफारिशों के आधार पर अतिरिक्त सुरक्षा नियंत्रण लागू किए हैं।

निरंतर सुधार

निरंतर सुरक्षा सुधार के लिए हमारी व्यापक रणनीति का हिस्सा है पेनेट्रेशन परीक्षण। प्रत्येक परीक्षण के निष्कर्ष हमारी सुरक्षा नीतियों का मार्गदर्शन करते हैं, विकास प्रथाओं को प्रभावित करते हैं, और हमारी सुरक्षा वास्तुकला में संवर्द्धन को बढ़ावा देते हैं।

टीम विशेषज्ञता

हमारी पैठ परीक्षण एक इन-हाउस पेशेवर द्वारा किया जाता है, जिसके पास विभिन्न परियोजनाओं और उद्योगों में व्यापक अनुभव है। अग्रणी उपकरणों और विधियों का उपयोग करते हुए, हमारे विशेषज्ञ यह सुनिश्चित करते हैं कि हमारे एप्लिकेशन को नवीनतम सुरक्षा खतरों के विरुद्ध पूरी तरह से परखा गया है।

सुरक्षा के प्रति प्रतिबद्धता

हम अपने उपयोगकर्ताओं और हितधारकों के लिए सुरक्षित एप्लिकेशन वातावरण बनाए रखने के लिए समर्पित हैं। सुरक्षा परीक्षण और सुधार में हमारे निरंतर प्रयास उभरते खतरों से सुरक्षा के लिए हमारी प्रतिबद्धता को दर्शाते हैं।

रिपोर्ट एक्सेस और अपडेट

जैसे-जैसे नई प्रवेश परीक्षण रिपोर्ट जारी की जाती हैं, यह दस्तावेज़ लगातार अपडेट होता रहेगा। पूरी रिपोर्ट तक पहुँचने के लिए, कृपया नीचे दिए गए ईमेल के ज़रिए हमसे संपर्क करें। भविष्य के अपडेट में नई पहचानी गई कमज़ोरियाँ, सुधार के प्रयास और हमारी परीक्षण पद्धतियों में समायोजन शामिल होंगे।

अधिक जानकारी के लिए कृपया [email protected] से संपर्क करें।