เอกสารภาพรวมความปลอดภัยของ Wink

อัปเดตล่าสุด: 7 กันยายน 2024

เวอร์ชัน 1.0

วัตถุประสงค์และขอบเขต

ในฐานะส่วนหนึ่งของความมุ่งมั่นอย่างต่อเนื่องของเราในการรักษาความปลอดภัยและปกป้องข้อมูลผู้ใช้ เราดำเนินการทดสอบเจาะระบบอย่างสม่ำเสมอบนเว็บแอปพลิเคชันของเรา เอกสารนี้สรุปวิธีการทดสอบของเรา ให้ภาพรวมของผลการทดสอบ และเน้นแนวทางของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง

เอกสารนี้จะได้รับการอัปเดตเมื่อมีรายงานใหม่หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น

โดเมนที่อยู่ในขอบเขต:
*.wink.travel
*.trippay.io

ความถี่และตารางการทดสอบ

การทดสอบเจาะระบบของเราดำเนินการเป็นประจำทุกปี โดยมีการทดสอบเพิ่มเติมตามความจำเป็นหลังจากมีการอัปเดตที่สำคัญของแอปพลิเคชันหรือโครงสร้างพื้นฐาน จังหวะการทดสอบที่สม่ำเสมอนี้ช่วยให้เราก้าวนำหน้าภัยคุกคามที่เปลี่ยนแปลงและรักษาสภาพแวดล้อมที่ปลอดภัย

วิธีการทดสอบ

การทดสอบเจาะระบบของเราครอบคลุมอย่างครบถ้วนและครอบคลุมหลายด้านของความปลอดภัย รวมถึงแต่ไม่จำกัดเพียง:

• OWASP Top 10: การทดสอบของเรามุ่งเป้าไปที่ความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุด เช่น Injection, Broken Authentication และ Cross-Site Scripting (XSS)
• การทดสอบ Black Box และ Grey Box: ขึ้นอยู่กับขอบเขต ทีมงานของเราใช้วิธีการเหล่านี้เพื่อจำลองสถานการณ์โจมตีทั้งจากภายนอกและภายใน
• การทดสอบอัตโนมัติและด้วยมือ: เราใช้ Burp Suite Pro ซึ่งเป็นชุดเครื่องมือทดสอบความปลอดภัยชั้นนำ เพื่อดำเนินการสแกนความปลอดภัยอัตโนมัติและช่วยในการทดสอบด้วยมือเพื่อระบุช่องโหว่ที่ซับซ้อนและให้ครอบคลุมมากที่สุด สำหรับการระบุช่องโหว่เฉพาะบางอย่าง เราใช้เครื่องมือเฉพาะทาง เช่น SQLmap

สรุปผลการทดสอบ

ต่อไปนี้เป็นสรุประดับสูงของรายงานการทดสอบเจาะระบบล่าสุดของเรา:

• ช่องโหว่ที่ระบุได้ทั้งหมด: 2
• การกระจายความรุนแรง:
  • รุนแรงมาก: 2
• ประเภทของช่องโหว่ที่ตรวจพบ:
  • การควบคุมการเข้าถึงที่ผิดพลาด
  • การออกแบบที่ไม่ปลอดภัย

สำหรับรายละเอียดผลการทดสอบ โปรดดูรายงานฉบับเต็ม

การจัดอันดับความเสี่ยงและผลกระทบ

ช่องโหว่ทั้งสองที่พบได้รับการจัดอันดับว่ารุนแรงมาก เนื่องจากทั้งสองช่องโหว่อาจส่งผลกระทบทางการเงินอย่างรุนแรง ช่องโหว่แรกอนุญาตให้ผู้ใช้ที่ได้รับการยืนยันตัวตนที่ประสงค์ร้ายสามารถควบคุมบัญชีการชำระเงิน Trippay ของบริษัทอื่นได้ ช่องโหว่ที่สองอนุญาตให้ผู้ใช้ที่ประสงค์ร้ายแก้ไขจำนวนเงินที่ต้องชำระสำหรับการจองได้

ความพยายามในการแก้ไขและบรรเทา

เราได้ดำเนินการตามขั้นตอนดังต่อไปนี้เพื่อแก้ไขช่องโหว่ที่ระบุ:

• แพตช์ทันที: ช่องโหว่รุนแรงมากได้รับการแก้ไขภายใน 48 ชั่วโมงหลังจากการค้นพบ
• การตรวจสอบโค้ดและเสริมความแข็งแกร่ง: ทีมพัฒนาได้ดำเนินการควบคุมความปลอดภัยเพิ่มเติมตามคำแนะนำของเรา

การปรับปรุงอย่างต่อเนื่อง

การทดสอบเจาะระบบเป็นส่วนหนึ่งของกลยุทธ์ที่กว้างขึ้นของเราในการปรับปรุงความปลอดภัยอย่างต่อเนื่อง ผลการทดสอบแต่ละครั้งช่วยชี้นำแนวทางนโยบายความปลอดภัยของเรา มีอิทธิพลต่อแนวทางการพัฒนา และขับเคลื่อนการปรับปรุงสถาปัตยกรรมความปลอดภัยของเรา

ความเชี่ยวชาญของทีม

การทดสอบเจาะระบบของเราดำเนินการโดยผู้เชี่ยวชาญภายในที่มีประสบการณ์อย่างกว้างขวางในโครงการและอุตสาหกรรมต่าง ๆ โดยใช้เครื่องมือและวิธีการชั้นนำ ผู้เชี่ยวชาญของเรารับประกันว่าแอปพลิเคชันของเราจะได้รับการทดสอบอย่างละเอียดเพื่อต่อต้านภัยคุกคามความปลอดภัยล่าสุด

ความมุ่งมั่นต่อความปลอดภัย

เรามุ่งมั่นที่จะรักษาสภาพแวดล้อมแอปพลิเคชันที่ปลอดภัยสำหรับผู้ใช้และผู้มีส่วนได้ส่วนเสีย ความพยายามอย่างต่อเนื่องของเราในการทดสอบและปรับปรุงความปลอดภัยแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องจากภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ

การเข้าถึงรายงานและการอัปเดต

เอกสารนี้จะได้รับการอัปเดตอย่างต่อเนื่องเมื่อมีรายงานการทดสอบเจาะระบบใหม่ออกมา เพื่อเข้าถึงรายงานฉบับเต็ม โปรดติดต่อเราผ่านอีเมลด้านล่าง การอัปเดตในอนาคตจะรวมถึงช่องโหว่ที่ระบุใหม่ ความพยายามในการแก้ไข และการปรับเปลี่ยนวิธีการทดสอบของเรา

สำหรับคำถามเพิ่มเติม โปรดติดต่อ [email protected]