Безопасность

Обзор документа по безопасности Wink

Последнее обновление: 7 сентября 2024 г.

Версия 1.0

Цель и область применения

В рамках нашей постоянной приверженности безопасности и защите данных пользователей мы регулярно проводим тестирование на проникновение нашего веб-приложения. В этом документе описаны наши методики тестирования, приведено резюме результатов и выделен наш подход к непрерывному улучшению безопасности.

Этот документ будет обновляться по мере появления новых отчетов или при значительных изменениях.

Области применения:
*.wink.travel
*.trippay.io

Частота и график тестирования

Наши тесты на проникновение проводятся ежегодно, а также дополнительно по мере необходимости после значительных обновлений приложения или инфраструктуры. Такой регулярный график тестирования позволяет нам опережать развивающиеся угрозы и поддерживать безопасную среду.

Методики тестирования

Наше тестирование на проникновение является комплексным и охватывает широкий спектр аспектов безопасности, включая, но не ограничиваясь:

• OWASP Top 10: Наши тесты специально нацелены на наиболее критичные риски безопасности, такие как инъекции, нарушение аутентификации и межсайтовый скриптинг (XSS).
• Black Box и Grey Box тестирование: В зависимости от области применения наша команда использует эти методики для имитации как внешних, так и внутренних сценариев атак.
• Автоматизированное и ручное тестирование: Мы используем Burp Suite Pro, ведущий набор инструментов для тестирования безопасности, для проведения автоматизированных сканирований и поддержки ручных методов тестирования с целью выявления сложных уязвимостей и обеспечения максимального охвата. Для более специфического выявления уязвимостей применяются специализированные инструменты, например SQLmap.

Резюме результатов

Ниже приведено краткое резюме нашего последнего отчета по тестированию на проникновение:

• Общее количество выявленных уязвимостей: 2
• Распределение по степени серьезности:
  • Критические: 2
• Типы обнаруженных уязвимостей:
  • Нарушение контроля доступа
  • Небезопасный дизайн

Для подробных результатов обратитесь к полному отчету.

Оценка рисков и влияние

Обе обнаруженные уязвимости оценены как критические, поскольку каждая из них могла привести к серьезным финансовым последствиям. Первая позволяла злоумышленнику с аутентификацией получить контроль над платежным аккаунтом другой компании в Trippay. Вторая уязвимость позволяла злоумышленнику изменять сумму платежа, необходимую для бронирования.

Меры по устранению и смягчению

Мы предприняли следующие шаги для устранения выявленных уязвимостей:

• Немедленные исправления: Критические уязвимости были устранены в течение 48 часов после обнаружения.
• Ревизия кода и усиление: Команда разработчиков внедрила дополнительные меры безопасности на основе наших рекомендаций.

Непрерывное улучшение

Тестирование на проникновение является частью нашей более широкой стратегии непрерывного улучшения безопасности. Результаты каждого теста направляют наши политики безопасности, влияют на практики разработки и стимулируют улучшения в архитектуре безопасности.

Экспертиза команды

Наше тестирование на проникновение проводится внутренним специалистом с обширным опытом работы в различных проектах и отраслях. Используя передовые инструменты и методы, наш эксперт обеспечивает тщательное тестирование приложения на предмет актуальных угроз безопасности.

Обязательства по безопасности

Мы стремимся поддерживать безопасную среду приложения для наших пользователей и заинтересованных сторон. Наши постоянные усилия по тестированию и улучшению безопасности демонстрируют нашу приверженность защите от развивающихся угроз.

Доступ к отчетам и обновления

Этот документ будет регулярно обновляться по мере выпуска новых отчетов по тестированию на проникновение. Для получения полного отчета, пожалуйста, свяжитесь с нами по указанному ниже адресу электронной почты. В будущих обновлениях будут отражены новые выявленные уязвимости, меры по их устранению и изменения в методиках тестирования.

По дополнительным вопросам обращайтесь на [email protected].