安全性
Wink 安全性概述文件
Section titled “Wink 安全性概述文件”最後更新:2024年9月7日
版本 1.0
作為我們持續致力於安全與保護用戶資料的一部分,我們定期對網頁應用程式進行滲透測試。本文檔說明我們的測試方法,提供發現摘要,並強調我們持續改進安全性的做法。
本文件將在產生新報告或發生重大變更時更新。
涵蓋的網域:
*.wink.travel
*.trippay.io
測試頻率與排程
Section titled “測試頻率與排程”我們的滲透測試每年進行一次,並在應用程式或基礎設施重大更新後視需要安排額外測試。此定期測試節奏確保我們能領先演變中的威脅,維持安全環境。
我們的滲透測試全面涵蓋多種安全面向,包括但不限於:
- OWASP 前十大風險: 我們的測試特別針對最關鍵的安全風險,如注入攻擊、身份驗證破壞及跨站腳本攻擊(XSS)。
- 黑盒與灰盒測試: 根據範圍,我們團隊利用這些方法模擬外部及內部攻擊情境。
- 自動化與手動測試: 我們使用 Burp Suite Pro 這套領先的安全測試工具進行自動化掃描,並輔助手動測試技術以識別複雜漏洞,達到最佳覆蓋率。針對特定漏洞識別,也會使用如 SQLmap 等專用工具。
以下為我們最近一次滲透測試報告的高階摘要:
- 識別漏洞總數: 2
- 嚴重性分布:
- 致命:2
- 偵測到的漏洞類型:
- 存取控制破壞
- 不安全設計
詳細發現請參閱完整報告。
風險評等與影響
Section titled “風險評等與影響”兩項發現的漏洞皆評為致命,因為它們均可能造成嚴重的財務影響。第一項漏洞允許惡意已驗證用戶控制另一家公司之 Trippay 付款帳戶。第二項漏洞允許惡意用戶修改訂單所需付款金額。
修復與緩解措施
Section titled “修復與緩解措施”我們已採取以下步驟來處理識別出的漏洞:
- 即時修補: 致命漏洞於發現後48小時內完成修補。
- 程式碼審查與強化: 開發團隊根據我們的建議實施額外的安全控管。
滲透測試是我們持續安全改進策略的一部分。每次測試的發現指導我們的安全政策,影響開發實務,並推動安全架構的強化。
我們的滲透測試由具備豐富跨專案與產業經驗的內部專業人員執行。透過領先工具與方法,確保應用程式全面抵禦最新安全威脅。
我們致力於為用戶與利害關係人維護安全的應用環境。持續的安全測試與改進工作展現我們對抗演變威脅的承諾。
報告存取與更新
Section titled “報告存取與更新”本文件將隨著新滲透測試報告發布持續更新。欲取得完整報告,請透過以下電子郵件與我們聯繫。未來更新將包含新識別漏洞、修復措施及測試方法調整。
如有進一步疑問,請聯絡 [email protected]。