Безпека

Документ огляду безпеки Wink

Останнє оновлення: 7 вересня 2024 року

Версія 1.0

Мета та обсяг

У рамках нашої постійної відданості безпеці та захисту даних користувачів ми регулярно проводимо тестування на проникнення нашого веб-додатку. Цей документ описує наші методології тестування, надає резюме висновків і висвітлює наш підхід до безперервного покращення безпеки.

Цей документ буде оновлюватися у міру появи нових звітів або при значних змінах.

Доменні зони в межах обсягу:
*.wink.travel
*.trippay.io

Частота та графік тестування

Наші тести на проникнення проводяться щорічно, з додатковими тестами за потреби після значних оновлень додатку або інфраструктури. Такий регулярний графік тестування забезпечує наше випередження еволюції загроз і підтримку безпечного середовища.

Методології тестування

Наше тестування на проникнення є комплексним і охоплює широкий спектр аспектів безпеки, включно, але не обмежуючись:

• OWASP Top 10: Наші тести спеціально націлені на найкритичніші ризики безпеки, такі як Ін’єкції, Зламану автентифікацію та Cross-Site Scripting (XSS).
• Тестування Black Box і Grey Box: Залежно від обсягу, наша команда використовує ці методології для імітації як зовнішніх, так і внутрішніх сценаріїв атак.
• Автоматизоване та ручне тестування: Ми використовуємо Burp Suite Pro, провідний набір інструментів для тестування безпеки, для проведення автоматизованих сканувань безпеки та допомоги в ручних методах тестування для виявлення складних вразливостей і досягнення максимальної покритості. Для більш специфічного виявлення вразливостей використовуються деякі спеціалізовані інструменти, наприклад SQLmap.

Резюме висновків

Нижче наведено високорівневе резюме нашого останнього звіту з тестування на проникнення:

• Загальна кількість виявлених вразливостей: 2
• Розподіл за рівнем серйозності:
  • Критичні: 2
• Типи виявлених вразливостей:
  • Зламаний контроль доступу
  • Небезпечний дизайн

Для детальних висновків звертайтеся до повного звіту.

Оцінка ризиків та вплив

Обидві виявлені вразливості оцінені як критичні, оскільки могли мати серйозні фінансові наслідки. Перша дозволяла зловмисному автентифікованому користувачу отримати контроль над платіжним акаунтом іншої компанії в Trippay. Друга вразливість дозволяла зловмиснику змінювати суму платежу, необхідного для бронювання.

Заходи з усунення та пом’якшення

Ми вжили наступних заходів для усунення виявлених вразливостей:

• Негайні патчі: Критичні вразливості були виправлені протягом 48 годин після виявлення.
• Перегляд коду та посилення: Команда розробників впровадила додаткові заходи безпеки на основі наших рекомендацій.

Безперервне покращення

Тестування на проникнення є частиною нашої ширшої стратегії безперервного покращення безпеки. Висновки кожного тесту керують нашими політиками безпеки, впливають на практики розробки та стимулюють вдосконалення нашої архітектури безпеки.

Експертиза команди

Наше тестування на проникнення проводить внутрішній фахівець з великим досвідом у різних проєктах і галузях. Використовуючи провідні інструменти та методи, наш експерт забезпечує ретельне тестування додатку на відповідність останнім загрозам безпеки.

Відданість безпеці

Ми прагнемо підтримувати безпечне середовище додатку для наших користувачів і зацікавлених сторін. Наші постійні зусилля у тестуванні та покращенні безпеки демонструють нашу відданість захисту від еволюційних загроз.

Доступ до звіту та оновлення

Цей документ буде постійно оновлюватися у міру випуску нових звітів з тестування на проникнення. Для доступу до повного звіту, будь ласка, зв’яжіться з нами за електронною адресою нижче. Майбутні оновлення включатимуть нововиявлені вразливості, заходи з усунення та коригування наших методологій тестування.

Для подальших запитів, будь ласка, звертайтеся на [email protected].