Skip to content

Security

เอกสารภาพรวมการรักษาความปลอดภัย Wink

Section titled “เอกสารภาพรวมการรักษาความปลอดภัย Wink”

ปรับปรุงล่าสุด : 7 กันยายน 2567

เวอร์ชัน 1.0

วัตถุประสงค์และขอบเขต

Section titled “วัตถุประสงค์และขอบเขต”

เนื่องด้วยเรามุ่งมั่นอย่างต่อเนื่องที่จะรักษาความปลอดภัยและปกป้องข้อมูลผู้ใช้ เราจึงดำเนินการทดสอบการเจาะระบบบนแอปพลิเคชันบนเว็บของเราเป็นประจำ เอกสารนี้จะอธิบายวิธีการทดสอบของเรา สรุปผลการค้นพบ และเน้นย้ำแนวทางของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง

เอกสารนี้จะได้รับการอัปเดตเมื่อมีการสร้างรายงานใหม่หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น

โดเมนที่อยู่ในขอบเขต:
*.กระพริบตา.การเดินทาง
*.trippay.io

ความถี่และกำหนดการการทดสอบ

Section titled “ความถี่และกำหนดการการทดสอบ”

การทดสอบเจาะระบบของเราดำเนินการเป็นประจำทุกปี โดยมีการกำหนดการทดสอบเพิ่มเติมตามความจำเป็นหลังจากการอัปเดตแอปพลิเคชันหรือโครงสร้างพื้นฐานที่สำคัญ จังหวะการทดสอบที่สม่ำเสมอนี้ช่วยให้เราอยู่เหนือภัยคุกคามที่เปลี่ยนแปลงไปและรักษาสภาพแวดล้อมที่ปลอดภัย

การทดสอบการเจาะระบบของเรามีความครอบคลุมและครอบคลุมถึงประเด็นด้านความปลอดภัยหลากหลาย เช่น:

  • OWASP 10 อันดับแรก:การทดสอบของเรามุ่งเป้าไปที่ความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดโดยเฉพาะ เช่น การแทรก การตรวจสอบสิทธิ์ที่ล้มเหลว และการเขียนสคริปต์แบบครอสไซต์ (XSS)
  • การทดสอบกล่องดำและกล่องสีเทา:ทีมงานของเราใช้กระบวนการเหล่านี้เพื่อจำลองสถานการณ์การโจมตีทั้งภายนอกและภายใน ขึ้นอยู่กับขอบเขต
  • การทดสอบแบบอัตโนมัติและด้วยตนเอง:เราใช้ Burp Suite Pro ซึ่งเป็นชุดเครื่องมือทดสอบความปลอดภัยชั้นนำ เพื่อดำเนินการสแกนความปลอดภัยโดยอัตโนมัติและเพื่อช่วยเทคนิคการทดสอบด้วยตนเองเพื่อระบุช่องโหว่ที่ซับซ้อนและครอบคลุมให้ดีที่สุดเท่าที่จะทำได้ สำหรับการระบุช่องโหว่ที่เฉพาะเจาะจงยิ่งขึ้น จะใช้เครื่องมือเฉพาะบางอย่าง เช่น SQLmap

สรุปผลการค้นพบ

Section titled “สรุปผลการค้นพบ”

ต่อไปนี้เป็นสรุปโดยละเอียดของรายงานการทดสอบการเจาะล่าสุดของเรา:

  • ช่องโหว่ทั้งหมดที่ระบุ:2
  • การกระจายระดับความรุนแรง:
    • วิกฤต: 2
  • ประเภทของช่องโหว่ที่ตรวจพบ:
    • ระบบควบคุมการเข้าถึงที่เสียหาย
    • การออกแบบที่ไม่ปลอดภัย

สำหรับผลการค้นพบโดยละเอียดโปรดดูรายงานฉบับเต็ม

ระดับความเสี่ยงและผลกระทบ

Section titled “ระดับความเสี่ยงและผลกระทบ”

ช่องโหว่ที่พบทั้งสองรายการได้รับการประเมินว่าร้ายแรง เนื่องจากทั้งสองรายการอาจส่งผลกระทบทางการเงินอย่างรุนแรง ช่องโหว่แรกทำให้ผู้ใช้ที่ผ่านการรับรองโดยเจตนาที่เป็นอันตรายสามารถควบคุมบัญชีชำระเงิน Trippay ของบริษัทอื่นได้ ช่องโหว่ที่สองทำให้ผู้ใช้ที่ประสงค์ร้ายสามารถแก้ไขจำนวนเงินที่ต้องชำระสำหรับการจองได้

ความพยายามในการแก้ไขและบรรเทาผลกระทบ

Section titled “ความพยายามในการแก้ไขและบรรเทาผลกระทบ”

เราได้ดำเนินการตามขั้นตอนต่อไปนี้เพื่อแก้ไขช่องโหว่ที่ระบุ:

  • แพทช์ทันที:ช่องโหว่สำคัญได้รับการแก้ไขแล้วภายใน 48 ชั่วโมงนับจากการค้นพบ
  • การตรวจสอบและเสริมความแข็งแกร่งโค้ด:ทีมพัฒนาได้นำการควบคุมความปลอดภัยเพิ่มเติมมาใช้ตามคำแนะนำของเรา

การปรับปรุงอย่างต่อเนื่อง

Section titled “การปรับปรุงอย่างต่อเนื่อง”

การทดสอบการเจาะระบบเป็นส่วนหนึ่งของกลยุทธ์ที่กว้างขึ้นของเราสำหรับการปรับปรุงความปลอดภัยอย่างต่อเนื่อง ผลการทดสอบแต่ละครั้งจะชี้นำนโยบายความปลอดภัยของเรา มีอิทธิพลต่อแนวทางการพัฒนา และขับเคลื่อนการปรับปรุงในสถาปัตยกรรมความปลอดภัยของเรา

ความเชี่ยวชาญของทีมงาน

Section titled “ความเชี่ยวชาญของทีมงาน”

การทดสอบเจาะระบบของเราดำเนินการโดยผู้เชี่ยวชาญภายในองค์กรที่มีประสบการณ์มากมายในโครงการและอุตสาหกรรมต่างๆ โดยใช้เครื่องมือและวิธีการชั้นนำ ผู้เชี่ยวชาญของเราจะรับประกันว่าแอปพลิเคชันของเราได้รับการทดสอบอย่างละเอียดถี่ถ้วนต่อภัยคุกคามด้านความปลอดภัยล่าสุด

ความมุ่งมั่นด้านความปลอดภัย

Section titled “ความมุ่งมั่นด้านความปลอดภัย”

เราทุ่มเทให้กับการรักษาสภาพแวดล้อมแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้และผู้ถือผลประโยชน์ของเรา ความพยายามอย่างต่อเนื่องของเราในการทดสอบและปรับปรุงความปลอดภัยแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องจากภัยคุกคามที่เปลี่ยนแปลงไป

การเข้าถึงรายงานและการอัพเดต

Section titled “การเข้าถึงรายงานและการอัพเดต”

เอกสารนี้จะได้รับการอัปเดตอย่างต่อเนื่องเมื่อมีการออกรายงานการทดสอบการเจาะระบบใหม่ๆ หากต้องการเข้าถึงรายงานฉบับเต็ม โปรดติดต่อเราผ่านทางอีเมลด้านล่าง การอัปเดตในอนาคตจะรวมถึงช่องโหว่ที่ระบุใหม่ ความพยายามในการแก้ไข และการปรับเปลี่ยนวิธีการทดสอบของเรา

หากต้องการสอบถามเพิ่มเติม โปรดติดต่อ [email protected]