ความปลอดภัย
เอกสารภาพรวมความปลอดภัยของ Wink
Section titled “เอกสารภาพรวมความปลอดภัยของ Wink”อัปเดตล่าสุด: 7 กันยายน 2024
เวอร์ชัน 1.0
วัตถุประสงค์และขอบเขต
Section titled “วัตถุประสงค์และขอบเขต”ในฐานะส่วนหนึ่งของความมุ่งมั่นอย่างต่อเนื่องของเราในการรักษาความปลอดภัยและปกป้องข้อมูลผู้ใช้ เราดำเนินการทดสอบเจาะระบบอย่างสม่ำเสมอบนเว็บแอปพลิเคชันของเรา เอกสารนี้สรุปวิธีการทดสอบของเรา ให้ภาพรวมของผลการทดสอบ และเน้นแนวทางของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง
เอกสารนี้จะได้รับการอัปเดตเมื่อมีรายงานใหม่หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น
โดเมนที่อยู่ในขอบเขต:
*.wink.travel
*.trippay.io
ความถี่และตารางการทดสอบ
Section titled “ความถี่และตารางการทดสอบ”การทดสอบเจาะระบบของเราดำเนินการเป็นประจำทุกปี โดยมีการทดสอบเพิ่มเติมตามความจำเป็นหลังจากมีการอัปเดตที่สำคัญของแอปพลิเคชันหรือโครงสร้างพื้นฐาน จังหวะการทดสอบที่สม่ำเสมอนี้ช่วยให้เราก้าวนำหน้าภัยคุกคามที่เปลี่ยนแปลงและรักษาสภาพแวดล้อมที่ปลอดภัย
วิธีการทดสอบ
Section titled “วิธีการทดสอบ”การทดสอบเจาะระบบของเราครอบคลุมอย่างครบถ้วนและครอบคลุมหลายด้านของความปลอดภัย รวมถึงแต่ไม่จำกัดเพียง:
- OWASP Top 10: การทดสอบของเรามุ่งเป้าไปที่ความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุด เช่น Injection, Broken Authentication และ Cross-Site Scripting (XSS)
- การทดสอบ Black Box และ Grey Box: ขึ้นอยู่กับขอบเขต ทีมงานของเราใช้วิธีการเหล่านี้เพื่อจำลองสถานการณ์โจมตีทั้งจากภายนอกและภายใน
- การทดสอบอัตโนมัติและด้วยมือ: เราใช้ Burp Suite Pro ซึ่งเป็นชุดเครื่องมือทดสอบความปลอดภัยชั้นนำ เพื่อดำเนินการสแกนความปลอดภัยอัตโนมัติและช่วยในการทดสอบด้วยมือเพื่อระบุช่องโหว่ที่ซับซ้อนและให้ครอบคลุมมากที่สุด สำหรับการระบุช่องโหว่เฉพาะบางอย่าง เราใช้เครื่องมือเฉพาะทาง เช่น SQLmap
สรุปผลการทดสอบ
Section titled “สรุปผลการทดสอบ”ต่อไปนี้เป็นสรุประดับสูงของรายงานการทดสอบเจาะระบบล่าสุดของเรา:
- ช่องโหว่ที่ระบุได้ทั้งหมด: 2
- การกระจายความรุนแรง:
- รุนแรงมาก: 2
- ประเภทของช่องโหว่ที่ตรวจพบ:
- การควบคุมการเข้าถึงที่ผิดพลาด
- การออกแบบที่ไม่ปลอดภัย
สำหรับรายละเอียดผลการทดสอบ โปรดดูรายงานฉบับเต็ม
การจัดอันดับความเสี่ยงและผลกระทบ
Section titled “การจัดอันดับความเสี่ยงและผลกระทบ”ช่องโหว่ทั้งสองที่พบได้รับการจัดอันดับว่ารุนแรงมาก เนื่องจากทั้งสองช่องโหว่อาจส่งผลกระทบทางการเงินอย่างรุนแรง ช่องโหว่แรกอนุญาตให้ผู้ใช้ที่ได้รับการยืนยันตัวตนที่ประสงค์ร้ายสามารถควบคุมบัญชีการชำระเงิน Trippay ของบริษัทอื่นได้ ช่องโหว่ที่สองอนุญาตให้ผู้ใช้ที่ประสงค์ร้ายแก้ไขจำนวนเงินที่ต้องชำระสำหรับการจองได้
ความพยายามในการแก้ไขและบรรเทา
Section titled “ความพยายามในการแก้ไขและบรรเทา”เราได้ดำเนินการตามขั้นตอนดังต่อไปนี้เพื่อแก้ไขช่องโหว่ที่ระบุ:
- แพตช์ทันที: ช่องโหว่รุนแรงมากได้รับการแก้ไขภายใน 48 ชั่วโมงหลังจากการค้นพบ
- การตรวจสอบโค้ดและเสริมความแข็งแกร่ง: ทีมพัฒนาได้ดำเนินการควบคุมความปลอดภัยเพิ่มเติมตามคำแนะนำของเรา
การปรับปรุงอย่างต่อเนื่อง
Section titled “การปรับปรุงอย่างต่อเนื่อง”การทดสอบเจาะระบบเป็นส่วนหนึ่งของกลยุทธ์ที่กว้างขึ้นของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง ผลการทดสอบแต่ละครั้งช่วยชี้นำแนวทางนโยบายความปลอดภัยของเรา มีอิทธิพลต่อแนวทางการพัฒนา และขับเคลื่อนการปรับปรุงสถาปัตยกรรมความปลอดภัยของเรา
ความเชี่ยวชาญของทีม
Section titled “ความเชี่ยวชาญของทีม”การทดสอบเจาะระบบของเราดำเนินการโดยผู้เชี่ยวชาญภายในที่มีประสบการณ์อย่างกว้างขวางในโครงการและอุตสาหกรรมต่าง ๆ โดยใช้เครื่องมือและวิธีการชั้นนำ ผู้เชี่ยวชาญของเรารับประกันว่าแอปพลิเคชันของเราจะได้รับการทดสอบอย่างละเอียดเพื่อต่อต้านภัยคุกคามความปลอดภัยล่าสุด
ความมุ่งมั่นต่อความปลอดภัย
Section titled “ความมุ่งมั่นต่อความปลอดภัย”เรามุ่งมั่นที่จะรักษาสภาพแวดล้อมแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้และผู้มีส่วนได้ส่วนเสีย ความพยายามอย่างต่อเนื่องของเราในการทดสอบและปรับปรุงความปลอดภัยแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องจากภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ
การเข้าถึงรายงานและการอัปเดต
Section titled “การเข้าถึงรายงานและการอัปเดต”เอกสารนี้จะได้รับการอัปเดตอย่างต่อเนื่องเมื่อมีรายงานการทดสอบเจาะระบบใหม่ออกมา เพื่อเข้าถึงรายงานฉบับเต็ม โปรดติดต่อเราผ่านอีเมลด้านล่าง การอัปเดตในอนาคตจะรวมถึงช่องโหว่ที่ระบุใหม่ ความพยายามในการแก้ไข และการปรับเปลี่ยนวิธีการทดสอบของเรา
สำหรับคำถามเพิ่มเติม โปรดติดต่อ [email protected]