אבטחה
עודכן לאחרונה: 7 בספטמבר 2024
גרסה 1.0
מטרה והיקף
Section titled “מטרה והיקף”כחלק מהמחויבות המתמשכת שלנו לאבטחה ולהגנה על נתוני המשתמשים, אנו מבצעים בדיקות חדירה תקופתיות על אפליקציית האינטרנט שלנו. מסמך זה מפרט את שיטות הבדיקה שלנו, מספק סיכום ממצאים ומדגיש את הגישה שלנו לשיפור מתמיד באבטחה.
מסמך זה יעודכן ככל שיתקבלו דוחות חדשים או כאשר יתרחשו שינויים משמעותיים.
דומיינים בתחום ההיקף:
*.wink.travel
*.trippay.io
תדירות ולוח זמנים של הבדיקות
Section titled “תדירות ולוח זמנים של הבדיקות”בדיקות החדירה שלנו מתבצעות על בסיס שנתי, עם בדיקות נוספות המתוזמנות לפי הצורך לאחר עדכונים משמעותיים באפליקציה או בתשתית. קצב בדיקות זה מבטיח שנשארים צעד אחד לפני איומים מתפתחים ושומרים על סביבה מאובטחת.
שיטות הבדיקה
Section titled “שיטות הבדיקה”בדיקות החדירה שלנו מקיפות ומכסות מגוון רחב של היבטים אבטחתיים, כולל אך לא מוגבל ל:
- OWASP Top 10: הבדיקות שלנו מתמקדות במיוחד בסיכוני האבטחה הקריטיים ביותר, כגון הזרקה, אימות שבור ו-XSS (Cross-Site Scripting).
- בדיקות Black Box ו-Grey Box: בהתאם להיקף, הצוות שלנו משתמש בשיטות אלו כדי לדמות תרחישי התקפה חיצוניים ופנימיים.
- בדיקות אוטומטיות וידניות: אנו משתמשים ב-Burp Suite Pro, כלי מוביל לבדיקות אבטחה, לביצוע סריקות אבטחה אוטומטיות ולסיוע בטכניקות בדיקה ידניות לזיהוי פגיעויות מורכבות ולהשגת כיסוי מיטבי. לזיהוי פגיעויות ספציפיות יותר נעשה שימוש בכלים מיוחדים כגון SQLmap.
סיכום ממצאים
Section titled “סיכום ממצאים”להלן סיכום ברמה גבוהה של דוח בדיקות החדירה האחרון שלנו:
- סך הפגיעויות שזוהו: 2
- התפלגות חומרה:
- קריטיות: 2
- סוגי הפגיעויות שזוהו:
- בקרת גישה שבורה
- עיצוב לא מאובטח
לממצאים מפורטים, יש לעיין בדוח המלא.
דירוג סיכונים והשפעה
Section titled “דירוג סיכונים והשפעה”שתי הפגיעויות שנמצאו מדורגות כקריטיות מאחר שכל אחת מהן יכלה לגרום להשפעות כלכליות חמורות. הראשונה אפשרה למשתמש מזיק עם הרשאות אימות לקבל שליטה על חשבון התשלום של חברת Trippay אחרת. הפגיעות השנייה אפשרה למשתמש מזיק לשנות את סכום התשלום הנדרש עבור הזמנה.
מאמצי תיקון והפחתה
Section titled “מאמצי תיקון והפחתה”נקוטו הצעדים הבאים לטיפול בפגיעויות שזוהו:
- תיקונים מיידיים: הפגיעויות הקריטיות תוקנו בתוך 48 שעות מהגילוי.
- סקירת קוד והקשחת אבטחה: צוות הפיתוח יישם בקרות אבטחה נוספות בהתבסס על ההמלצות שלנו.
שיפור מתמיד
Section titled “שיפור מתמיד”בדיקות חדירה הן חלק מהאסטרטגיה הרחבה שלנו לשיפור מתמיד באבטחה. ממצאי כל בדיקה מנחים את מדיניות האבטחה שלנו, משפיעים על שיטות הפיתוח ומקדמים שיפורים בארכיטקטורת האבטחה שלנו.
מומחיות הצוות
Section titled “מומחיות הצוות”בדיקות החדירה מבוצעות על ידי איש מקצוע פנימי עם ניסיון נרחב בפרויקטים ותעשיות שונות. באמצעות כלים ושיטות מובילים, המומחה שלנו מבטיח שהאפליקציה נבדקת לעומק מול האיומים האבטחתיים העדכניים ביותר.
מחויבות לאבטחה
Section titled “מחויבות לאבטחה”אנו מחויבים לשמור על סביבה מאובטחת עבור המשתמשים והגורמים המעורבים. המאמצים המתמשכים שלנו בבדיקות אבטחה ושיפור מדגימים את המחויבות שלנו להגנה מפני איומים מתפתחים.
גישה לדוח ועדכונים
Section titled “גישה לדוח ועדכונים”מסמך זה יעודכן באופן שוטף ככל שיתקבלו דוחות בדיקות חדירה חדשים. לקבלת הדוח המלא, אנא פנו אלינו באמצעות הדוא”ל למטה. עדכונים עתידיים יכללו פגיעויות שזוהו לאחרונה, מאמצי תיקון והתאמות בשיטות הבדיקה שלנו.
לשאלות נוספות, אנא פנו לכתובת [email protected].