Security
Oversiktsdokument for Wink-sikkerhet
Section titled “Oversiktsdokument for Wink-sikkerhet”Sist oppdatert: 7. september 2024
Versjon 1.0
Formål og omfang
Section titled “Formål og omfang”Som en del av vår kontinuerlige forpliktelse til sikkerhet og beskyttelse av brukerdata, utfører vi regelmessig penetrasjonstesting av webapplikasjonen vår. Dette dokumentet beskriver testmetodene våre, gir et sammendrag av funnene og fremhever vår tilnærming til kontinuerlig sikkerhetsforbedring.
Dette dokumentet vil bli oppdatert etter hvert som nye rapporter produseres eller når det skjer vesentlige endringer.
Domener innenfor omfanget:
*.wink.travel
*.trippay.io
Testfrekvens og tidsplan
Section titled “Testfrekvens og tidsplan”Penetrasjonstestene våre utføres årlig, med ytterligere tester planlagt etter behov etter betydelige oppdateringer av applikasjonen eller infrastrukturen. Denne regelmessige testfrekvensen sikrer at vi holder oss i forkant av utviklende trusler og opprettholder et sikkert miljø.
Testmetoder
Section titled “Testmetoder”Penetrasjonstestingen vår er omfattende og dekker et bredt spekter av sikkerhetsaspekter, inkludert, men ikke begrenset til:
- OWASP Topp 10:Testene våre retter seg spesifikt mot de mest kritiske sikkerhetsrisikoene, som injeksjon, ødelagt autentisering og Cross-Site Scripting (XSS).
- Testing av svart boks og grå boks:Avhengig av omfanget bruker teamet vårt disse metodene for å simulere både eksterne og interne angrepsscenarier.
- Automatisert og manuell testing:Vi bruker Burp Suite Pro, et ledende verktøysett for sikkerhetstesting, for å utføre automatiserte sikkerhetsskanninger og for å hjelpe manuelle testteknikker for å identifisere komplekse sårbarheter og få best mulig dekning. For mer spesifikk identifisering av sårbarheter brukes noen spesialiserte verktøy, f.eks. SQLmap.
Sammendrag av funn
Section titled “Sammendrag av funn”Følgende er et kort sammendrag av vår nyeste penetrasjonstestrapport:
- Totalt antall identifiserte sårbarheter:2
- Alvorlighetsfordeling:
- Kritisk: 2
- Typer av sårbarheter oppdaget:
- Brudd på tilgangskontrollen
- Usikker design
For detaljerte funn, se den fullstendige rapporten.
Risikovurderinger og innvirkning
Section titled “Risikovurderinger og innvirkning”Begge de oppdagede sårbarhetene er vurdert som kritiske, siden begge kunne ha hatt alvorlige økonomiske konsekvenser. Den første tillot en ondsinnet, autentisert bruker å få kontroll over et annet selskaps Trippay-betalingskonto. Den andre sårbarheten tillot en ondsinnet bruker å endre betalingsbeløpet som kreves for en bestilling.
Tiltak for utbedring og avbøtende tiltak
Section titled “Tiltak for utbedring og avbøtende tiltak”Vi har tatt følgende skritt for å håndtere de identifiserte sårbarhetene:
- Umiddelbare oppdateringer:De kritiske sårbarhetene ble rettet innen 48 timer etter oppdagelsen.
- Kodegjennomgang og herding:Utviklingsteamet har implementert ytterligere sikkerhetskontroller basert på våre anbefalinger.
Kontinuerlig forbedring
Section titled “Kontinuerlig forbedring”Penetrasjonstesting er en del av vår bredere strategi for kontinuerlig sikkerhetsforbedring. Funn fra hver test veileder våre sikkerhetspolicyer, påvirker utviklingspraksis og driver forbedringer i vår sikkerhetsarkitektur.
Teamekspertise
Section titled “Teamekspertise”Penetrasjonstestingen vår utføres av en intern fagperson med bred erfaring på tvers av ulike prosjekter og bransjer. Ved hjelp av ledende verktøy og metoder sørger eksperten vår for at applikasjonen vår testes grundig mot de nyeste sikkerhetstruslene.
Forpliktelse til sikkerhet
Section titled “Forpliktelse til sikkerhet”Vi er opptatt av å opprettholde et sikkert applikasjonsmiljø for våre brukere og interessenter. Vår kontinuerlige innsats innen sikkerhetstesting og forbedring viser vår forpliktelse til å beskytte mot stadig utviklende trusler.
Rapporttilgang og oppdateringer
Section titled “Rapporttilgang og oppdateringer”Dette dokumentet vil bli kontinuerlig oppdatert etter hvert som nye penetrasjonstestrapporter utstedes. For å få tilgang til hele rapporten, vennligst kontakt oss via e-postadressen nedenfor. Fremtidige oppdateringer vil inkludere nylig identifiserte sårbarheter, utbedringstiltak og justeringer av testmetodene våre.
For ytterligere henvendelser, vennligst kontakt [email protected].