跳到內容

Security

最後更新:2024 年 9 月 7 日

版本 1.0

作為我們對安全和保護用戶資料的持續承諾的一部分,我們對我們的網路應用程式進行定期滲透測試。本文檔概述了我們的測試方法,提供了調查結果摘要,並強調了我們持續改進安全性的方法。

當有新報告發布或發生重大變更時,本文檔將會更新。

範圍內的域:
*.wi​​nk.travel
*.trippay.io

我們的滲透測試每年進行一次,並在應用程式或基礎設施進行重大更新後根據需要安排額外的測試。這種定期的測試節奏確保我們始終領先於不斷演變的威脅並維護安全的環境。

我們的滲透測試非常全面,涵蓋了廣泛的安全方面,包括但不限於:

  • OWASP 十大漏洞: 我們的測試專門針對最關鍵的安全風險,例如注入、破壞身份驗證和跨站點腳本 (XSS)。
  • 黑盒測試和灰盒測試: 根據範圍,我們的團隊利用這些方法來模擬外部和內部攻擊場景。
  • 自動和手動測試: 我們使用領先的安全測試工具集 Burp Suite Pro 進行自動安全掃描,並輔助手動測試技術來識別複雜的漏洞並獲得最佳覆蓋範圍。為了更具體地識別漏洞,可以使用一些專門的工具,例如。 SQL 映射。

以下是我們最新的滲透測試報告的摘要:

  • 已識別漏洞總數: 2
  • 嚴重程度分佈:
    • 危急:2
  • 偵測到的漏洞類型:
    • 存取控制失效
    • 不安全的設計

欲了解詳細調查結果,請參閱完整報告。

發現的兩個漏洞都被評為嚴重漏洞,因為它們都可能造成嚴重的財務影響。第一個漏洞允許經過驗證的惡意使用者控制另一家公司的 Trippay 支付帳戶。第二個漏洞允許惡意用戶修改預訂所需的付款金額。

我們已採取以下步驟來解決已發現的漏洞:

  • 立即補丁: 這些嚴重漏洞在發現後 48 小時內就已修補。
  • 程式碼審查與強化: 開發團隊根據我們的建議實施了額外的安全控制。

滲透測試是我們持續改善安全的更廣泛策略的一部分。每次測試的結果都會指導我們的安全政策、影響開發實踐並推動我們安全架構的增強。

我們的滲透測試由在各個專案和行業擁有豐富經驗的內部專業人員進行。我們的專家使用領先的工具和方法,確保我們的應用程式針對最新的安全威脅進行全面測試。

我們致力於為我們的用戶和利害關係人維護一個安全的應用程式環境。我們在安全測試和改進方面的持續努力表明了我們致力於防範不斷演變的威脅。

隨著新的滲透測試報告的發布,本文檔將不斷更新。如需完整報告,請透過以下電子郵件與我們聯絡。未來的更新將包括新發現的漏洞、補救措施以及對我們的測試方法的調整。

如有進一步疑問,請聯絡 [email protected]