安全
Wink 安全概览文档
Section titled “Wink 安全概览文档”最后更新:2024年9月7日
版本 1.0
作为我们持续致力于安全和保护用户数据的一部分,我们定期对我们的网络应用进行渗透测试。本文档概述了我们的测试方法,提供了发现的总结,并强调了我们持续改进安全的做法。
本文档将在生成新报告或发生重大变更时更新。
涵盖域名:
*.wink.travel
*.trippay.io
测试频率和计划
Section titled “测试频率和计划”我们的渗透测试每年进行一次,并在应用或基础设施发生重大更新后根据需要安排额外测试。此定期测试节奏确保我们领先于不断演变的威胁,保持安全环境。
我们的渗透测试全面涵盖多种安全方面,包括但不限于:
- OWASP Top 10: 我们的测试特别针对最关键的安全风险,如注入、身份验证失效和跨站脚本攻击(XSS)。
- 黑盒和灰盒测试: 根据范围,我们的团队采用这些方法模拟外部和内部攻击场景。
- 自动化和手动测试: 我们使用领先的安全测试工具集 Burp Suite Pro 进行自动化安全扫描,并辅助手动测试技术,以识别复杂漏洞并尽可能覆盖更多。针对更具体的漏洞识别,还使用了如 SQLmap 等专业工具。
以下是我们最近一次渗透测试报告的高级总结:
- 发现漏洞总数: 2
- 严重性分布:
- 严重:2
- 检测到的漏洞类型:
- 访问控制失效
- 不安全设计
详细发现请参阅完整报告。
风险评级和影响
Section titled “风险评级和影响”发现的两个漏洞均被评为严重,因为它们都可能造成严重的财务影响。第一个漏洞允许恶意认证用户控制另一家公司的 Trippay 支付账户。第二个漏洞允许恶意用户修改预订所需支付的金额。
修复和缓解措施
Section titled “修复和缓解措施”我们已采取以下措施解决已识别的漏洞:
- 即时补丁: 严重漏洞在发现后48小时内已修补。
- 代码审查和加固: 开发团队根据我们的建议实施了额外的安全控制。
渗透测试是我们持续安全改进战略的一部分。每次测试的发现指导我们的安全政策,影响开发实践,并推动安全架构的增强。
团队专业能力
Section titled “团队专业能力”我们的渗透测试由一位拥有丰富跨项目和行业经验的内部专家执行。借助领先工具和方法,专家确保我们的应用针对最新安全威胁进行全面测试。
我们致力于为用户和利益相关者维护安全的应用环境。我们在安全测试和改进方面的持续努力,体现了我们保护免受不断演变威胁的承诺。
报告访问和更新
Section titled “报告访问和更新”随着新渗透测试报告的发布,本文档将持续更新。要获取完整报告,请通过以下电子邮件联系我们。未来更新将包括新识别的漏洞、修复措施和测试方法的调整。
如有进一步疑问,请联系 [email protected]。