Security
เอกสารภาพรวมการรักษาความปลอดภัย Wink
Section titled “เอกสารภาพรวมการรักษาความปลอดภัย Wink”ปรับปรุงล่าสุด : 7 กันยายน 2567
เวอร์ชัน 1.0
วัตถุประสงค์และขอบเขต
Section titled “วัตถุประสงค์และขอบเขต”เนื่องด้วยเรามุ่งมั่นอย่างต่อเนื่องที่จะรักษาความปลอดภัยและปกป้องข้อมูลผู้ใช้ เราจึงดำเนินการทดสอบการเจาะระบบบนแอปพลิเคชันบนเว็บของเราเป็นประจำ เอกสารนี้จะอธิบายวิธีการทดสอบของเรา สรุปผลการค้นพบ และเน้นย้ำแนวทางของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง
เอกสารนี้จะได้รับการอัปเดตเมื่อมีการสร้างรายงานใหม่หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น
โดเมนที่อยู่ในขอบเขต:
*.กระพริบตา.การเดินทาง
*.trippay.io
ความถี่และกำหนดการการทดสอบ
Section titled “ความถี่และกำหนดการการทดสอบ”การทดสอบเจาะระบบของเราดำเนินการเป็นประจำทุกปี โดยมีการกำหนดการทดสอบเพิ่มเติมตามความจำเป็นหลังจากการอัปเดตแอปพลิเคชันหรือโครงสร้างพื้นฐานที่สำคัญ จังหวะการทดสอบที่สม่ำเสมอนี้ช่วยให้เราอยู่เหนือภัยคุกคามที่เปลี่ยนแปลงไปและรักษาสภาพแวดล้อมที่ปลอดภัย
วิธีการทดสอบ
Section titled “วิธีการทดสอบ”การทดสอบการเจาะระบบของเรามีความครอบคลุมและครอบคลุมถึงประเด็นด้านความปลอดภัยหลากหลาย เช่น:
- OWASP 10 อันดับแรก:การทดสอบของเรามุ่งเป้าไปที่ความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดโดยเฉพาะ เช่น การแทรก การตรวจสอบสิทธิ์ที่ล้มเหลว และการเขียนสคริปต์แบบครอสไซต์ (XSS)
- การทดสอบกล่องดำและกล่องสีเทา:ทีมงานของเราใช้กระบวนการเหล่านี้เพื่อจำลองสถานการณ์การโจมตีทั้งภายนอกและภายใน ขึ้นอยู่กับขอบเขต
- การทดสอบแบบอัตโนมัติและด้วยตนเอง:เราใช้ Burp Suite Pro ซึ่งเป็นชุดเครื่องมือทดสอบความปลอดภัยชั้นนำ เพื่อดำเนินการสแกนความปลอดภัยโดยอัตโนมัติและเพื่อช่วยเทคนิคการทดสอบด้วยตนเองเพื่อระบุช่องโหว่ที่ซับซ้อนและครอบคลุมให้ดีที่สุดเท่าที่จะทำได้ สำหรับการระบุช่องโหว่ที่เฉพาะเจาะจงยิ่งขึ้น จะใช้เครื่องมือเฉพาะบางอย่าง เช่น SQLmap
สรุปผลการค้นพบ
Section titled “สรุปผลการค้นพบ”ต่อไปนี้เป็นสรุปโดยละเอียดของรายงานการทดสอบการเจาะล่าสุดของเรา:
- ช่องโหว่ทั้งหมดที่ระบุ:2
- การกระจายระดับความรุนแรง:
- วิกฤต: 2
- ประเภทของช่องโหว่ที่ตรวจพบ:
- ระบบควบคุมการเข้าถึงที่เสียหาย
- การออกแบบที่ไม่ปลอดภัย
สำหรับผลการค้นพบโดยละเอียดโปรดดูรายงานฉบับเต็ม
ระดับความเสี่ยงและผลกระทบ
Section titled “ระดับความเสี่ยงและผลกระทบ”ช่องโหว่ที่พบทั้งสองรายการได้รับการประเมินว่าร้ายแรง เนื่องจากทั้งสองรายการอาจส่งผลกระทบทางการเงินอย่างรุนแรง ช่องโหว่แรกทำให้ผู้ใช้ที่ผ่านการรับรองโดยเจตนาที่เป็นอันตรายสามารถควบคุมบัญชีชำระเงิน Trippay ของบริษัทอื่นได้ ช่องโหว่ที่สองทำให้ผู้ใช้ที่ประสงค์ร้ายสามารถแก้ไขจำนวนเงินที่ต้องชำระสำหรับการจองได้
ความพยายามในการแก้ไขและบรรเทาผลกระทบ
Section titled “ความพยายามในการแก้ไขและบรรเทาผลกระทบ”เราได้ดำเนินการตามขั้นตอนต่อไปนี้เพื่อแก้ไขช่องโหว่ที่ระบุ:
- แพทช์ทันที:ช่องโหว่สำคัญได้รับการแก้ไขแล้วภายใน 48 ชั่วโมงนับจากการค้นพบ
- การตรวจสอบและเสริมความแข็งแกร่งโค้ด:ทีมพัฒนาได้นำการควบคุมความปลอดภัยเพิ่มเติมมาใช้ตามคำแนะนำของเรา
การปรับปรุงอย่างต่อเนื่อง
Section titled “การปรับปรุงอย่างต่อเนื่อง”การทดสอบการเจาะระบบเป็นส่วนหนึ่งของกลยุทธ์ที่กว้างขึ้นของเราสำหรับการปรับปรุงความปลอดภัยอย่างต่อเนื่อง ผลการทดสอบแต่ละครั้งจะชี้นำนโยบายความปลอดภัยของเรา มีอิทธิพลต่อแนวทางการพัฒนา และขับเคลื่อนการปรับปรุงในสถาปัตยกรรมความปลอดภัยของเรา
ความเชี่ยวชาญของทีมงาน
Section titled “ความเชี่ยวชาญของทีมงาน”การทดสอบเจาะระบบของเราดำเนินการโดยผู้เชี่ยวชาญภายในองค์กรที่มีประสบการณ์มากมายในโครงการและอุตสาหกรรมต่างๆ โดยใช้เครื่องมือและวิธีการชั้นนำ ผู้เชี่ยวชาญของเราจะรับประกันว่าแอปพลิเคชันของเราได้รับการทดสอบอย่างละเอียดถี่ถ้วนต่อภัยคุกคามด้านความปลอดภัยล่าสุด
ความมุ่งมั่นด้านความปลอดภัย
Section titled “ความมุ่งมั่นด้านความปลอดภัย”เราทุ่มเทให้กับการรักษาสภาพแวดล้อมแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้และผู้ถือผลประโยชน์ของเรา ความพยายามอย่างต่อเนื่องของเราในการทดสอบและปรับปรุงความปลอดภัยแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องจากภัยคุกคามที่เปลี่ยนแปลงไป
การเข้าถึงรายงานและการอัพเดต
Section titled “การเข้าถึงรายงานและการอัพเดต”เอกสารนี้จะได้รับการอัปเดตอย่างต่อเนื่องเมื่อมีการออกรายงานการทดสอบการเจาะระบบใหม่ๆ หากต้องการเข้าถึงรายงานฉบับเต็ม โปรดติดต่อเราผ่านทางอีเมลด้านล่าง การอัปเดตในอนาคตจะรวมถึงช่องโหว่ที่ระบุใหม่ ความพยายามในการแก้ไข และการปรับเปลี่ยนวิธีการทดสอบของเรา
หากต้องการสอบถามเพิ่มเติม โปรดติดต่อ [email protected]