PiBridge: Nâng Cao Bảo Mật Hệ Thống với Dịch Vụ Pentest từ CyStack

Pibridge là một một nền tảng ứng dụng tài chính kết hợp cả hai mô hình DEX và CEX với multi-chain & cross-chain AMM, cùng nhiều tiện ích như farming, lending, fundraising platform (launchpad), prediction, NFT và hàng loạt các chức năng khác. Với tất cả các sản phẩm đều được phát triển dựa trên Pi Network.

Nhận thức được tầm quan trọng của việc đảm bảo an toàn an ninh mạng, PiBridge quyết định hợp tác với CyStack để thực hiện đánh giá và cải thiện an toàn bảo mật hệ thống thông qua dịch vụ kiểm thử xâm nhập (pentest).

Giải pháp của CyStack

Từ ngày 17/11/2023 đến 07/02/2024, CyStack triển khai kiểm thử xâm nhập toàn diện và kiểm tra lại (retest) đối với hệ thống của PiBridge. Quá trình kiểm thử dựa trên các tiêu chuẩn an ninh hàng đầu.

Quy trình pentest được thực hiện với phương pháp white-box testing, kết hợp thông tin nội bộ hệ thống để phát hiện lỗ hổng bảo mật một cách hiệu quả.

Đối tượng kiểm thử: Ứng dụng web.

Các thử nghiệm của chúng tôi bao gồm:

• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handing
• Testing for Weak Cryptography
• Business Logic Testing
• Client-side Testing
• API Testing

Các tiêu chuẩn mà nhóm chuyên gia CyStack sử dụng bao gồm:

• OWASP Testing Guide v4
• NIST SP 800-115
• Phương pháp kiểm thử tùy chỉnh của CyStack, đảm bảo phù hợp với hạ tầng và đặc thù của PiBridge.

Quy trình làm việc của chúng tôi:

• Lập kế hoạch và thăm dò: Xác định phạm vi và mục tiêu của cuộc kiểm thử, xác định thông tin về mạng và các hệ thống mục tiêu, đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn.
• Phân tích lỗ hổng: Xác định các lỗ hổng tiềm ẩn trong hệ thống mục tiêu bằng cách sử dụng các kỹ thuật như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình; kiểm thử các lỗ hổng phổ biến như 1‐day flaws và CVEs.
• Khai thác: Các chuyên gia cố gắng khai thác một hoặc nhiều lỗ hổng đã xác định để có được quyền truy cập trái phép vào hệ thống.
• Sau khai thác: Duy trì quyền truy cập vào hệ thống đã bị xâm nhập và leo thang đặc quyền trong hệ thống, nếu có thể.
• Báo cáo: Chuẩn bị một báo cáo tóm tắt quá trình kiểm thử, các lỗ hổng được xác định và các khuyến nghị để cải thiện tính bảo mật của hệ thống.

Kết quả

Thông qua việc thực hiện các kiểm tra bảo mật độc lập và áp dụng các công nghệ tiên tiến, chúng tôi đã hỗ trợ khách hàng xác định và khắc phục kịp thời các điểm yếu trong hệ thống. Nhờ đó, họ có thể phòng tránh rủi ro tài chính từ các sự cố tiềm ẩn và đảm bảo mang lại một nền tảng bán vé an toàn, đáng tin cậy cho người dùng.

Dự án bắt đầu vào ngày 17 tháng 11 năm 2023 với đội ngũ gồm bốn (4) chuyên gia bảo mật. Vào ngày 10 tháng 01 năm 2025, CyStack đã thực hiện tái đánh giá để xác minh hiệu quả của các biện pháp khắc phục đã được áp dụng.

Trong lần kiểm tra lại cuối cùng, tất cả các lỗ hổng có nguy cơ bị khai thác hoặc gây ảnh hưởng đến hệ thống đều đã được PiBridge xử lý triệt để. Các vấn đề được phát hiện đã được khắc phục theo đúng hướng dẫn của CyStack.

CyStack đánh giá hệ thống của PiBridge có mức độ bảo mật tốt. Trong suốt quá trình kiểm tra, PiBridge luôn hợp tác chặt chẽ, minh bạch và cung cấp đầy đủ thông tin một cách kịp thời, đáp ứng mọi yêu cầu từ CyStack một cách hoàn hảo.

Chăm sóc khách hàng

Đội ngũ Engineering và Business Development của chúng tôi đã hỗ trợ tận tình để đảm bảo quá trình kiểm tra bảo mật của khách hàng diễn ra suôn sẻ, cả về thủ tục giấy tờ và khía cạnh kỹ thuật. Quá trình này bao gồm:

Đội ngũ Business Development

• Hỗ trợ xử lý các thủ tục giấy tờ theo deadline của khách hàng, đảm bảo đúng quy định và tiêu chuẩn của lĩnh vực.
• Phối hợp với team nội bộ để tập trung vào dự án, đồng thời giám sát chặt chẽ quá trình thực hiện dự án đảm bảo đúng tiến độ khách hàng đặt ra dù thời gian có hạn.

Đội ngũ Security Engineering

• Ngăn chặn việc truy cập trái phép vào thông tin vé của bất kỳ người dùng nào, duy trì tính toàn vẹn của dữ liệu cá nhân và giao dịch của người dùng.
• Áp dụng các biện pháp bảo mật tiên tiến nhằm ngăn ngừa nguy cơ bị khai thác lỗ hổng liên quan đến luồng mua bán vé các sự kiện giải trí. Cách tiếp cận toàn diện này đảm bảo rằng mọi bước của quy trình đều nhắm đến đúng lỗ hổng.
• Tăng cường bảo mật khi sử dụng JWT làm phương thức xác thực. JWT nổi tiếng về tính hiệu quả trong bảo mật và chúng tôi đã khai thác các khả năng của nó để cung cấp cho khách hàng một cơ chế xác thực mạnh mẽ.

Về CyStack

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

Để nhận tư vấn dịch vụ, bạn vui lòng đăng ký bên dưới:

Nhận tư vấn miễn phí từ chuyên gia

Mời bạn xem thêm các tài liệu mà CyStack đã biên soạn để giúp doanh nghiệp tăng cường bảo mật:

• Template Xây dựng hệ thống Antivirus và Phòng chống mã độc cho doanh nghiệp
• Kịch bản tấn công Mối đe dọa nội bộ và rò rỉ dữ liệu
• Checklist Tự đánh giá mức độ Quản trị, Rủi ro và Tuân thủ (GRC)