İçeriğe geç

Security

Son Güncelleme: 7 Eylül 2024

Sürüm 1.0

Güvenlik ve kullanıcı verilerini korumaya yönelik devam eden bağlılığımızın bir parçası olarak, web uygulamamızda düzenli olarak penetrasyon testleri gerçekleştiriyoruz. Bu belge, test metodolojilerimizi ana hatlarıyla açıklıyor, bulguların bir özetini sunuyor ve sürekli güvenlik iyileştirme yaklaşımımızı vurguluyor.

Yeni raporlar hazırlandığında veya önemli değişiklikler meydana geldiğinde bu belge güncellenecektir.

Kapsam dahilindeki alanlar:
*.göz kırpma.seyahat
*.trippay.io

Penetrasyon testlerimiz yıllık olarak yürütülür ve uygulama veya altyapıda önemli güncellemeler yapıldıktan sonra ihtiyaç duyuldukça ek testler planlanır. Bu düzenli test ritmi, gelişen tehditlerin önünde kalmamızı ve güvenli bir ortam sağlamamızı sağlar.

Penetrasyon testlerimiz kapsamlıdır ve aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çok çeşitli güvenlik konularını kapsar:

  • OWASP’ın En İyi 10’u:Testlerimiz özellikle Enjeksiyon, Bozuk Kimlik Doğrulama ve Siteler Arası Komut Dosyası Çalıştırma (XSS) gibi en kritik güvenlik risklerini hedef almaktadır.
  • Kara Kutu ve Gri Kutu Testleri:Kapsama bağlı olarak ekibimiz bu metodolojileri hem dış hem de iç saldırı senaryolarını simüle etmek için kullanır.
  • Otomatik ve Manuel Test:Otomatik güvenlik taramaları yapmak ve karmaşık güvenlik açıklarını belirlemek ve elimizden gelen en iyi kapsamı elde etmek için manuel test tekniklerine yardımcı olmak amacıyla önde gelen bir güvenlik test araç seti olan Burp Suite Pro’yu kullanıyoruz. Daha spesifik güvenlik açığı tanımlaması için bazı özel araçlar kullanılır, örneğin SQLmap.

En son penetrasyon testi raporumuzun üst düzey özeti aşağıdadır:

  • Belirlenen Toplam Güvenlik Açığı:2
  • Şiddet Dağılımı:
    • Kritik: 2
  • Tespit Edilen Güvenlik Açığı Türleri:
    • Kırık Erişim Kontrolü
    • Güvensiz Tasarım

Ayrıntılı bulgular için lütfen tam rapora bakın.

Bulunan güvenlik açıklarının her ikisi de ciddi finansal etkilere sahip olabileceğinden kritik olarak derecelendirilmiştir. İlki, kötü niyetli bir kimliği doğrulanmış kullanıcının başka bir şirketin Trippay ödeme hesabını kontrol etmesine izin verdi. İkinci güvenlik açığı, kötü niyetli bir kullanıcının bir rezervasyon için gereken ödeme miktarını değiştirmesine izin verdi.

Belirlenen güvenlik açıklarını gidermek için aşağıdaki adımları attık:

  • Hemen Uygulanacak Yamalar:Kritik güvenlik açıkları keşfedildikten sonraki 48 saat içinde kapatıldı.
  • Kod İncelemesi ve Güçlendirme:Geliştirme ekibimiz önerilerimize dayanarak ek güvenlik kontrolleri uyguladı.

Penetrasyon testi, sürekli güvenlik iyileştirmesi için daha geniş stratejimizin bir parçasıdır. Her testten elde edilen bulgular güvenlik politikalarımıza rehberlik eder, geliştirme uygulamalarını etkiler ve güvenlik mimarimizdeki iyileştirmeleri yönlendirir.

Penetrasyon testlerimiz, çeşitli projeler ve sektörlerde kapsamlı deneyime sahip şirket içi bir profesyonel tarafından yürütülür. Uzmanımız, önde gelen araçları ve yöntemleri kullanarak uygulamamızın en son güvenlik tehditlerine karşı kapsamlı bir şekilde test edilmesini sağlar.

Kullanıcılarımız ve paydaşlarımız için güvenli bir uygulama ortamı sağlamaya adadık kendimizi. Güvenlik testi ve iyileştirme konusundaki devam eden çabalarımız, gelişen tehditlere karşı koruma konusundaki kararlılığımızı göstermektedir.

Bu belge, yeni penetrasyon testi raporları yayınlandıkça sürekli olarak güncellenecektir. Tam rapora erişmek için lütfen aşağıdaki e-posta aracılığıyla bizimle iletişime geçin. Gelecekteki güncellemeler, yeni belirlenen güvenlik açıklarını, düzeltme çabalarını ve test metodolojilerimizdeki ayarlamaları içerecektir.

Daha fazla bilgi için lütfen [email protected] ile iletişime geçin.