Security
Översiktsdokument för Wink-säkerhet
Section titled “Översiktsdokument för Wink-säkerhet”Senast uppdaterad: 7 september 2024
Version 1.0
Syfte och omfattning
Section titled “Syfte och omfattning”Som en del av vårt kontinuerliga engagemang för säkerhet och skydd av användardata genomför vi regelbundna penetrationstester av vår webbapplikation. Detta dokument beskriver våra testmetoder, ger en sammanfattning av resultaten och belyser vår strategi för kontinuerlig säkerhetsförbättring.
Detta dokument kommer att uppdateras allt eftersom nya rapporter tas fram eller när väsentliga förändringar sker.
Domäner inom omfattning:
*.wink.travel
*.trippay.io
Testfrekvens och schema
Section titled “Testfrekvens och schema”Våra penetrationstester genomförs årligen, med ytterligare tester schemalagda vid behov efter betydande uppdateringar av applikationen eller infrastrukturen. Denna regelbundna testfrekvens säkerställer att vi ligger steget före nya hot och upprätthåller en säker miljö.
Testmetoder
Section titled “Testmetoder”Våra penetrationstest är omfattande och täcker ett brett spektrum av säkerhetsaspekter, inklusive men inte begränsat till:
- OWASP Topp 10:Våra tester riktar sig specifikt mot de mest kritiska säkerhetsriskerna, såsom injektion, trasig autentisering och Cross-Site Scripting (XSS).
- Testning av svarta lådor och grå lådor:Beroende på omfattningen använder vårt team dessa metoder för att simulera både externa och interna attackscenarier.
- Automatiserad och manuell testning:Vi använder Burp Suite Pro, ett ledande verktyg för säkerhetstestning, för att utföra automatiserade säkerhetsskanningar och för att underlätta manuella testtekniker för att identifiera komplexa sårbarheter och få bästa möjliga täckning. För mer specifik identifiering av sårbarheter används några specialiserade verktyg, t.ex. SQLmap.
Sammanfattning av resultaten
Section titled “Sammanfattning av resultaten”Följande är en översiktlig sammanfattning av vår senaste penetrationstestrapport:
- Totalt antal identifierade sårbarheter:2
- Allvarlighetsgradsfördelning:
- Kritisk: 2
- Typer av upptäckta sårbarheter:
- Trasig åtkomstkontroll
- Osäker design
För detaljerade resultat, vänligen se den fullständiga rapporten.
Riskklassificeringar och påverkan
Section titled “Riskklassificeringar och påverkan”Båda de funna sårbarheterna klassas som kritiska eftersom båda kunde ha haft allvarliga ekonomiska konsekvenser. Den första gjorde det möjligt för en illvillig autentiserad användare att få kontroll över ett annat företags Trippay-betalkonto. Den andra sårbarheten gjorde det möjligt för en illvillig användare att ändra betalningsbeloppet som krävs för en bokning.
Åtgärder och begränsningsinsatser
Section titled “Åtgärder och begränsningsinsatser”Vi har vidtagit följande åtgärder för att åtgärda de identifierade sårbarheterna:
- Omedelbara patchar:De kritiska sårbarheterna har åtgärdats inom 48 timmar efter upptäckten.
- Kodgranskning och härdning:Utvecklingsteamet har implementerat ytterligare säkerhetskontroller baserat på våra rekommendationer.
Kontinuerlig förbättring
Section titled “Kontinuerlig förbättring”Penetrationstestning är en del av vår bredare strategi för kontinuerlig säkerhetsförbättring. Resultaten från varje test vägleder våra säkerhetspolicyer, påverkar utvecklingspraxis och driver förbättringar i vår säkerhetsarkitektur.
Teamexpertis
Section titled “Teamexpertis”Våra penetrationstester utförs av en intern expert med omfattande erfarenhet av olika projekt och branscher. Med hjälp av ledande verktyg och metoder säkerställer vår expert att vår applikation är noggrant testad mot de senaste säkerhetshoten.
Engagemang för säkerhet
Section titled “Engagemang för säkerhet”Vi är dedikerade till att upprätthålla en säker applikationsmiljö för våra användare och intressenter. Våra kontinuerliga ansträngningar inom säkerhetstestning och förbättring visar vårt engagemang för att skydda mot framväxande hot.
Rapportåtkomst och uppdateringar
Section titled “Rapportåtkomst och uppdateringar”Detta dokument kommer att uppdateras kontinuerligt i takt med att nya rapporter om penetrationstest publiceras. För att få tillgång till hela rapporten, vänligen kontakta oss via e-postadressen nedan. Framtida uppdateringar kommer att inkludera nyligen identifierade sårbarheter, åtgärdsinsatser och justeringar av våra testmetoder.
För ytterligare frågor, vänligen kontakta [email protected].