Перейти до вмісту

Security

Оглядовий документ безпеки Wink

Section titled “Оглядовий документ безпеки Wink”

Останнє оновлення: 7 вересня 2024 р.

Версія 1.0

Мета та сфера застосування

Section titled “Мета та сфера застосування”

В рамках нашого постійного зобов’язання щодо безпеки та захисту даних користувачів, ми регулярно проводимо тестування на проникнення нашого веб-застосунку. У цьому документі викладено наші методології тестування, наведено короткий виклад результатів та висвітлено наш підхід до постійного вдосконалення безпеки.

Цей документ буде оновлюватися в міру підготовки нових звітів або в разі суттєвих змін.

Домени в області застосування:
*.wink.travel
*.trippay.io

Частота та графік тестування

Section titled “Частота та графік тестування”

Наші тести на проникнення проводяться щорічно, а додаткові тести плануються за потреби після значних оновлень програми або інфраструктури. Така регулярна частота тестування гарантує, що ми випереджаємо загрози, що розвиваються, та підтримуємо безпечне середовище.

Методології тестування

Section titled “Методології тестування”

Наше тестування на проникнення є комплексним та охоплює широкий спектр аспектів безпеки, включаючи, але не обмежуючись:

  • Топ-10 OWASP:Наші тести спеціально спрямовані на найкритичніші ризики безпеки, такі як ін’єкції, пошкоджена автентифікація та міжсайтовий скриптинг (XSS).
  • Тестування чорної та сірої скриньок:Залежно від обсягу, наша команда використовує ці методології для моделювання як зовнішніх, так і внутрішніх сценаріїв атак.
  • Автоматизоване та ручне тестування:Ми використовуємо Burp Suite Pro, провідний набір інструментів для тестування безпеки, для проведення автоматизованих сканувань безпеки та для допомоги в ручному тестуванні з метою виявлення складних вразливостей та отримання найкращого можливого покриття. Для більш точної ідентифікації вразливостей використовуються деякі спеціалізовані інструменти, наприклад, SQLmap.

Короткий зміст висновків

Section titled “Короткий зміст висновків”

Нижче наведено короткий виклад нашого останнього звіту про тестування на проникнення:

  • Загальна кількість виявлених вразливостей:2
  • Розподіл ступеня тяжкості:
    • Критично: 2
  • Типи виявлених вразливостей:
    • Порушений контроль доступу
    • Ненадійний дизайн

Для отримання детальних висновків, будь ласка, зверніться до повного звіту.

Рейтинги ризику та впливу

Section titled “Рейтинги ризику та впливу”

Обидві знайдені вразливості оцінюються як критичні, оскільки обидві вони могли мати серйозні фінансові наслідки. Перша дозволила зловмисному автентифікованому користувачеві отримати контроль над платіжним рахунком Trippay іншої компанії. Друга вразливість дозволяла зловмисному користувачеві змінювати суму оплати, необхідної для бронювання.

Зусилля з відновлення та пом’якшення наслідків

Section titled “Зусилля з відновлення та пом’якшення наслідків”

Ми вжили наступних заходів для усунення виявлених вразливостей:

  • Негайні патчі:Критичні вразливості були виправлені протягом 48 годин після виявлення.
  • Перевірка та посилення коду:Команда розробників впровадила додаткові засоби контролю безпеки на основі наших рекомендацій.

Постійне вдосконалення

Section titled “Постійне вдосконалення”

Тестування на проникнення є частиною нашої ширшої стратегії постійного покращення безпеки. Результати кожного тесту спрямовують наші політики безпеки, впливають на методи розробки та сприяють удосконаленню нашої архітектури безпеки.

Наше тестування на проникнення проводиться штатним фахівцем з великим досвідом роботи в різних проектах та галузях. Використовуючи передові інструменти та методи, наш експерт гарантує ретельне тестування нашого застосунку на предмет найновіших загроз безпеці.

Ми прагнемо підтримувати безпечне середовище додатків для наших користувачів та зацікавлених сторін. Наші постійні зусилля з тестування та вдосконалення безпеки демонструють нашу відданість захисту від загроз, що постійно змінюються.

Доступ до звітів та оновлення

Section titled “Доступ до звітів та оновлення”

Цей документ буде постійно оновлюватися в міру публікації нових звітів про тестування на проникнення. Щоб отримати доступ до повного звіту, зв’яжіться з нами за електронною адресою, вказаною нижче. Майбутні оновлення включатимуть виявлені вразливості, зусилля щодо їх усунення та коригування наших методологій тестування.

З додатковими питаннями звертайтеся за адресою [email protected].