Перейти к содержимому

Security

Последнее обновление: 7 сентября 2024 г.

Версия 1.0

В рамках нашей постоянной приверженности безопасности и защите пользовательских данных мы проводим регулярное тестирование на проникновение в наше веб-приложение. В этом документе изложены наши методологии тестирования, представлено резюме результатов и подчеркнут наш подход к постоянному улучшению безопасности.

Этот документ будет обновляться по мере подготовки новых отчетов или в случае возникновения существенных изменений.

Домены в области действия:
*.wink.путешествие
*.trippay.io

Наши тесты на проникновение проводятся ежегодно, а дополнительные тесты планируются по мере необходимости после значительных обновлений приложения или инфраструктуры. Этот регулярный цикл тестирования гарантирует, что мы опережаем развивающиеся угрозы и поддерживаем безопасную среду.

Наше тестирование на проникновение является всеобъемлющим и охватывает широкий спектр аспектов безопасности, включая, помимо прочего:

  • Топ-10 OWASP:Наши тесты специально нацелены на наиболее критические риски безопасности, такие как инъекции, нарушение аутентификации и межсайтовый скриптинг (XSS).
  • Тестирование методом черного и серого ящика:В зависимости от масштаба наша команда использует эти методики для моделирования сценариев как внешних, так и внутренних атак.
  • Автоматизированное и ручное тестирование:Мы используем Burp Suite Pro, ведущий набор инструментов для тестирования безопасности, для проведения автоматизированных сканирований безопасности и для поддержки ручных методов тестирования для выявления сложных уязвимостей и получения наилучшего покрытия, которое мы можем получить. Для более конкретной идентификации уязвимостей используются некоторые специализированные инструменты, например SQLmap.

Ниже приводится краткий обзор нашего последнего отчета о тестировании на проникновение:

  • Всего выявлено уязвимостей:2
  • Распределение серьезности:
    • Критический: 2
  • Типы обнаруженных уязвимостей:
    • Неисправный контроль доступа
    • Небезопасный дизайн

Подробные выводы см. в полном отчете.

Обе найденные уязвимости оцениваются как критические, поскольку обе могли иметь серьезные финансовые последствия. Первая позволяла злонамеренному аутентифицированному пользователю получить контроль над платежным аккаунтом Trippay другой компании. Вторая уязвимость позволяла злонамеренному пользователю изменять сумму платежа, требуемую для бронирования.

Меры по восстановлению и смягчению последствий

Заголовок раздела «Меры по восстановлению и смягчению последствий»

Для устранения выявленных уязвимостей мы предприняли следующие шаги:

  • Немедленные исправления:Критические уязвимости были устранены в течение 48 часов с момента обнаружения.
  • Обзор кода и укрепление:Команда разработчиков внедрила дополнительные меры безопасности на основе наших рекомендаций.

Тестирование на проникновение является частью нашей более широкой стратегии непрерывного улучшения безопасности. Результаты каждого теста направляют наши политики безопасности, влияют на методы разработки и способствуют улучшению нашей архитектуры безопасности.

Наше тестирование на проникновение проводится штатным специалистом с большим опытом работы в различных проектах и отраслях. Используя ведущие инструменты и методы, наш эксперт гарантирует, что наше приложение будет тщательно протестировано на предмет новейших угроз безопасности.

Мы стремимся поддерживать безопасную среду приложений для наших пользователей и заинтересованных сторон. Наши постоянные усилия по тестированию и улучшению безопасности демонстрируют нашу приверженность защите от развивающихся угроз.

Этот документ будет постоянно обновляться по мере выпуска новых отчетов о тестировании на проникновение. Чтобы получить доступ к полному отчету, свяжитесь с нами по электронной почте ниже. Будущие обновления будут включать в себя недавно выявленные уязвимости, усилия по их устранению и корректировки наших методологий тестирования.

По всем вопросам обращайтесь по адресу [email protected].