الأمان
آخر تحديث: 7 سبتمبر 2024
الإصدار 1.0
الغرض والنطاق
Section titled “الغرض والنطاق”كجزء من التزامنا المستمر بالأمان وحماية بيانات المستخدمين، نقوم بإجراء اختبارات اختراق منتظمة على تطبيقنا الإلكتروني. توضح هذه الوثيقة منهجيات الاختبار التي نتبعها، وتقدم ملخصًا للنتائج، وتسلط الضوء على نهجنا في تحسين الأمان المستمر.
سيتم تحديث هذه الوثيقة عند صدور تقارير جديدة أو عند حدوث تغييرات كبيرة.
النطاق:
*.wink.travel
*.trippay.io
تكرار وجدول الاختبارات
Section titled “تكرار وجدول الاختبارات”تُجرى اختبارات الاختراق لدينا سنويًا، مع جدولة اختبارات إضافية حسب الحاجة بعد التحديثات الكبيرة على التطبيق أو البنية التحتية. يضمن هذا الجدول المنتظم للاختبارات بقاؤنا في مقدمة التهديدات المتطورة والحفاظ على بيئة آمنة.
منهجيات الاختبار
Section titled “منهجيات الاختبار”اختبارات الاختراق لدينا شاملة وتغطي مجموعة واسعة من جوانب الأمان، بما في ذلك على سبيل المثال لا الحصر:
- OWASP Top 10: تستهدف اختباراتنا بشكل خاص أخطر مخاطر الأمان، مثل الحقن، والتحقق المكسور، وهجمات البرمجة عبر المواقع (XSS).
- اختبار الصندوق الأسود والصندوق الرمادي: اعتمادًا على النطاق، يستخدم فريقنا هذه المنهجيات لمحاكاة سيناريوهات الهجوم الخارجية والداخلية.
- الاختبار الآلي واليدوي: نستخدم Burp Suite Pro، مجموعة أدوات رائدة لاختبار الأمان، لإجراء فحوصات أمان آلية ولمساعدة تقنيات الاختبار اليدوي لتحديد الثغرات المعقدة والحصول على أفضل تغطية ممكنة. ولتحديد الثغرات بشكل أكثر تحديدًا، تُستخدم بعض الأدوات المتخصصة مثل SQLmap.
ملخص النتائج
Section titled “ملخص النتائج”فيما يلي ملخص رفيع المستوى لأحدث تقرير اختبار اختراق لدينا:
- إجمالي الثغرات المكتشفة: 2
- توزيع الشدة:
- حرجة: 2
- أنواع الثغرات المكتشفة:
- تحكم وصول مكسور
- تصميم غير آمن
للحصول على نتائج مفصلة، يرجى الرجوع إلى التقرير الكامل.
تقييمات المخاطر والتأثير
Section titled “تقييمات المخاطر والتأثير”تم تصنيف كلتا الثغرتين على أنهما حرجة نظرًا لأن كلاهما كان يمكن أن يؤدي إلى تأثيرات مالية شديدة. الأولى سمحت لمستخدم مخرب مصدق بالتحكم في حساب دفع Trippay لشركة أخرى. والثغرة الثانية سمحت لمستخدم مخرب بتعديل مبلغ الدفع المطلوب للحجز.
جهود الإصلاح والتخفيف
Section titled “جهود الإصلاح والتخفيف”اتخذنا الخطوات التالية لمعالجة الثغرات المكتشفة:
- تصحيحات فورية: تم تصحيح الثغرات الحرجة خلال 48 ساعة من اكتشافها.
- مراجعة الشفرة وتقويتها: نفذ فريق التطوير ضوابط أمان إضافية بناءً على توصياتنا.
التحسين المستمر
Section titled “التحسين المستمر”اختبار الاختراق هو جزء من استراتيجيتنا الأوسع للتحسين المستمر للأمان. توجه نتائج كل اختبار سياسات الأمان لدينا، وتؤثر على ممارسات التطوير، وتدفع التحسينات في بنية الأمان لدينا.
خبرة الفريق
Section titled “خبرة الفريق”يتم إجراء اختبارات الاختراق لدينا بواسطة محترف داخلي ذو خبرة واسعة عبر مشاريع وصناعات مختلفة. باستخدام الأدوات والأساليب الرائدة، يضمن خبيرنا اختبار تطبيقنا بدقة ضد أحدث التهديدات الأمنية.
الالتزام بالأمان
Section titled “الالتزام بالأمان”نحن ملتزمون بالحفاظ على بيئة تطبيق آمنة لمستخدمينا وأصحاب المصلحة. تظهر جهودنا المستمرة في اختبار الأمان والتحسين التزامنا بالحماية من التهديدات المتطورة.
الوصول إلى التقرير والتحديثات
Section titled “الوصول إلى التقرير والتحديثات”سيتم تحديث هذه الوثيقة باستمرار مع صدور تقارير اختبار اختراق جديدة. للوصول إلى التقرير الكامل، يرجى الاتصال بنا عبر البريد الإلكتروني أدناه. ستشمل التحديثات المستقبلية الثغرات المكتشفة حديثًا، وجهود الإصلاح، والتعديلات على منهجيات الاختبار.
للاستفسارات الإضافية، يرجى التواصل مع [email protected].