Security
Обзорный документ Wink Security
Заголовок раздела «Обзорный документ Wink Security»Последнее обновление: 7 сентября 2024 г.
Версия 1.0
Цель и область применения
Заголовок раздела «Цель и область применения»В рамках нашей постоянной приверженности безопасности и защите пользовательских данных мы проводим регулярное тестирование на проникновение в наше веб-приложение. В этом документе изложены наши методологии тестирования, представлено резюме результатов и подчеркнут наш подход к постоянному улучшению безопасности.
Этот документ будет обновляться по мере подготовки новых отчетов или в случае возникновения существенных изменений.
Домены в области действия:
*.wink.путешествие
*.trippay.io
Частота и график тестирования
Заголовок раздела «Частота и график тестирования»Наши тесты на проникновение проводятся ежегодно, а дополнительные тесты планируются по мере необходимости после значительных обновлений приложения или инфраструктуры. Этот регулярный цикл тестирования гарантирует, что мы опережаем развивающиеся угрозы и поддерживаем безопасную среду.
Методологии тестирования
Заголовок раздела «Методологии тестирования»Наше тестирование на проникновение является всеобъемлющим и охватывает широкий спектр аспектов безопасности, включая, помимо прочего:
- Топ-10 OWASP:Наши тесты специально нацелены на наиболее критические риски безопасности, такие как инъекции, нарушение аутентификации и межсайтовый скриптинг (XSS).
- Тестирование методом черного и серого ящика:В зависимости от масштаба наша команда использует эти методики для моделирования сценариев как внешних, так и внутренних атак.
- Автоматизированное и ручное тестирование:Мы используем Burp Suite Pro, ведущий набор инструментов для тестирования безопасности, для проведения автоматизированных сканирований безопасности и для поддержки ручных методов тестирования для выявления сложных уязвимостей и получения наилучшего покрытия, которое мы можем получить. Для более конкретной идентификации уязвимостей используются некоторые специализированные инструменты, например SQLmap.
Резюме результатов
Заголовок раздела «Резюме результатов»Ниже приводится краткий обзор нашего последнего отчета о тестировании на проникновение:
- Всего выявлено уязвимостей:2
- Распределение серьезности:
- Критический: 2
- Типы обнаруженных уязвимостей:
- Неисправный контроль доступа
- Небезопасный дизайн
Подробные выводы см. в полном отчете.
Рейтинги риска и влияние
Заголовок раздела «Рейтинги риска и влияние»Обе найденные уязвимости оцениваются как критические, поскольку обе могли иметь серьезные финансовые последствия. Первая позволяла злонамеренному аутентифицированному пользователю получить контроль над платежным аккаунтом Trippay другой компании. Вторая уязвимость позволяла злонамеренному пользователю изменять сумму платежа, требуемую для бронирования.
Меры по восстановлению и смягчению последствий
Заголовок раздела «Меры по восстановлению и смягчению последствий»Для устранения выявленных уязвимостей мы предприняли следующие шаги:
- Немедленные исправления:Критические уязвимости были устранены в течение 48 часов с момента обнаружения.
- Обзор кода и укрепление:Команда разработчиков внедрила дополнительные меры безопасности на основе наших рекомендаций.
Постоянное совершенствование
Заголовок раздела «Постоянное совершенствование»Тестирование на проникновение является частью нашей более широкой стратегии непрерывного улучшения безопасности. Результаты каждого теста направляют наши политики безопасности, влияют на методы разработки и способствуют улучшению нашей архитектуры безопасности.
Опыт команды
Заголовок раздела «Опыт команды»Наше тестирование на проникновение проводится штатным специалистом с большим опытом работы в различных проектах и отраслях. Используя ведущие инструменты и методы, наш эксперт гарантирует, что наше приложение будет тщательно протестировано на предмет новейших угроз безопасности.
Приверженность безопасности
Заголовок раздела «Приверженность безопасности»Мы стремимся поддерживать безопасную среду приложений для наших пользователей и заинтересованных сторон. Наши постоянные усилия по тестированию и улучшению безопасности демонстрируют нашу приверженность защите от развивающихся угроз.
Доступ к отчетам и обновления
Заголовок раздела «Доступ к отчетам и обновления»Этот документ будет постоянно обновляться по мере выпуска новых отчетов о тестировании на проникновение. Чтобы получить доступ к полному отчету, свяжитесь с нами по электронной почте ниже. Будущие обновления будут включать в себя недавно выявленные уязвимости, усилия по их устранению и корректировки наших методологий тестирования.
По всем вопросам обращайтесь по адресу [email protected].