Безпека

Останнє оновлення: 7 вересня 2024

Версія 1.0

Мета та обсяг

У рамках нашої постійної відданості безпеці та захисту даних користувачів ми регулярно проводимо тестування на проникнення нашого веб-додатку. Цей документ описує наші методології тестування, надає резюме результатів і висвітлює наш підхід до безперервного покращення безпеки.

Цей документ буде оновлюватися у міру появи нових звітів або при значних змінах.

Доменна зона в межах обсягу:
*.wink.travel
*.trippay.io

Частота та графік тестування

Наші тести на проникнення проводяться щорічно, а також додатково за потреби після значних оновлень додатку або інфраструктури. Такий регулярний графік тестування дозволяє нам випереджати еволюцію загроз і підтримувати безпечне середовище.

Методології тестування

Наше тестування на проникнення є комплексним і охоплює широкий спектр аспектів безпеки, зокрема, але не обмежуючись:

• OWASP Top 10: Наші тести спеціально націлені на найкритичніші ризики безпеки, такі як Ін’єкції, Зламану автентифікацію та Cross-Site Scripting (XSS).
• Black Box та Grey Box тестування: Залежно від обсягу, наша команда використовує ці методології для імітації як зовнішніх, так і внутрішніх сценаріїв атак.
• Автоматизоване та ручне тестування: Ми використовуємо Burp Suite Pro, провідний набір інструментів для тестування безпеки, для проведення автоматизованих сканувань безпеки та підтримки ручних методик тестування для виявлення складних вразливостей і досягнення максимальної покритості. Для більш специфічного виявлення вразливостей використовуються деякі спеціалізовані інструменти, наприклад SQLmap.

Резюме результатів

Нижче наведено високорівневе резюме нашого останнього звіту з тестування на проникнення:

• Загальна кількість виявлених вразливостей: 2
• Розподіл за рівнем серйозності:
  • Критичні: 2
• Типи виявлених вразливостей:
  • Зламаний контроль доступу
  • Небезпечний дизайн

Для детальних результатів звертайтеся до повного звіту.

Оцінка ризиків та вплив

Обидві виявлені вразливості оцінені як критичні, оскільки могли мати серйозні фінансові наслідки. Перша дозволяла зловмисному автентифікованому користувачу отримати контроль над платіжним акаунтом іншої компанії в Trippay. Друга вразливість дозволяла зловмиснику змінювати суму платежу, необхідного для бронювання.

Заходи з усунення та пом’якшення

Ми вжили наступних заходів для усунення виявлених вразливостей:

• Негайні патчі: Критичні вразливості були виправлені протягом 48 годин після виявлення.
• Перегляд коду та посилення: Команда розробників впровадила додаткові заходи безпеки на основі наших рекомендацій.

Безперервне покращення

Тестування на проникнення є частиною нашої ширшої стратегії безперервного покращення безпеки. Результати кожного тесту впливають на наші політики безпеки, практики розробки та сприяють удосконаленню архітектури безпеки.

Експертиза команди

Наше тестування на проникнення проводить внутрішній фахівець з великим досвідом у різних проєктах і галузях. Використовуючи провідні інструменти та методи, наш експерт забезпечує ретельне тестування додатку на відповідність останнім загрозам безпеки.

Відданість безпеці

Ми прагнемо підтримувати безпечне середовище для наших користувачів і зацікавлених сторін. Наші постійні зусилля у тестуванні та покращенні безпеки демонструють нашу відданість захисту від еволюційних загроз.

Доступ до звіту та оновлення

Цей документ буде постійно оновлюватися у міру випуску нових звітів з тестування на проникнення. Для отримання повного звіту, будь ласка, зв’яжіться з нами за електронною адресою нижче. Майбутні оновлення включатимуть нововиявлені вразливості, заходи з усунення та коригування наших методологій тестування.

Для подальших запитів, будь ласка, звертайтеся на [email protected].