Techhaus: Khắc phục lỗ hổng bảo mật của ứng dụng web 85.000+ người dùng với phương pháp Kiểm thử xâm nhập

Khám phá cách các chuyên gia bảo mật hệ thống bán vé kỹ thuật số ActiUp, giúp họ trở thành một nhà phát hành vé đáng tin cậy.

Techhaus Việt Nam là công ty công nghệ nổi tiếng tại Đông Nam Á chuyên cung cấp các giải pháp công nghệ về sức khỏe, thể thao và giải trí, giúp người dùng dễ dàng có lối sống lành mạnh và năng động hơn mỗi ngày.

Nền tảng ActiUp - một website chuyên phân phối vé xem các sự kiện thể thao, giải trí, âm nhạc của Techhaus - đã gặp lỗ hổng nghiêm trọng khi cho phép người dùng mua vé xem một sự kiện âm nhạc mà không cần thanh toán.

Nhận thấy tính cấp thiết của việc giải quyết tình trạng này, họ đã quyết định hợp tác với CyStack, một công ty an ninh mạng có chuyên môn trong việc xác định và giảm thiểu các mối đe dọa mạng để tăng cường bảo mật ActiUp, bảo vệ dữ liệu và giao dịch tài chính của khách hàng.

Khách hàng chủ động đến CyStack và chọn giải pháp Kiểm tra thâm nhập cũng như gửi các yêu cầu bổ sung để kiểm tra luồng logic của việc bán vé sự kiện.

Đối tượng kiểm thử: Ứng dụng web.

Các thử nghiệm của chúng tôi bao gồm:

• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handing
• Testing for Weak Cryptography
• Business Logic Testing
• Client-side Testing
• API Testing

Các tiêu chuẩn mà nhóm chuyên gia CyStack sử dụng bao gồm:

• OWASP Testing Guide
• The Penetration Testing Execution Standard
• REST API security guidelines
• NIST SP 800-95

Thông tin kĩ thuật:

• Front-end: React, Next.js
• Back-end: PHP, không rõ framework
• Reverse Proxy: Nginx
• Triển khai cơ sở hạ tầng đám mây AWS
• Tích hợp các công cụ phân tích

Quy trình làm việc của chúng tôi:

• Lập kế hoạch và thăm dò: Xác định phạm vi và mục tiêu của cuộc kiểm thử, xác định thông tin về mạng và các hệ thống mục tiêu, đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn.
• Phân tích lỗ hổng: Xác định các lỗ hổng tiềm ẩn trong hệ thống mục tiêu bằng cách sử dụng các kỹ thuật như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình; kiểm thử các lỗ hổng phổ biến như 1‐day flaws và CVEs.
• Khai thác: Các chuyên gia cố gắng khai thác một hoặc nhiều lỗ hổng đã xác định để có được quyền truy cập trái phép vào hệ thống.
• Sau khai thác: Duy trì quyền truy cập vào hệ thống đã bị xâm nhập và leo thang đặc quyền trong hệ thống, nếu có thể.
• Báo cáo: Chuẩn bị một báo cáo tóm tắt quá trình kiểm thử, các lỗ hổng được xác định và các khuyến nghị để cải thiện tính bảo mật của hệ thống.

Bằng cách tuân thủ nghiêm ngặt các quy định kiểm tra độc lập và áp dụng các giải pháp tiên tiến, chúng tôi đã giúp khách hàng phát hiện và giải quyết các lỗ hổng, cung cấp giải pháp ứng phó kịp thời. Điều này giúp họ tránh được tổn thất tài chính trong các sự kiện trong tương lai và đảm bảo trải nghiệm bán vé an toàn và bảo mật cho người dùng trên nền tảng của họ.

Với giải pháp Penetration Testing, chúng tôi đã phát hiện tổng cộng 6 lỗ hổng bảo mật bao gồm: 1 critical, 2 high và 3 low.

Cách khắc phục:

• Critical: Tăng mức độ phức tạp của chuỗi OTP gửi về, đảm bảo chỉ email duy nhất của người dùng nhận được OTP.
• High: Các lỗi luồng mua vé đã được tư vấn thiết kế lại giúp luồng hoạt động an toàn, đảm bảo không có gian lận mua vé.
• Low: Harden lại các configuration bảo mật hiện tại cho JWT, thêm các cơ chế kiểm soát hiệu lực token chặt chẽ hơn.

Đội ngũ Engineering và Business Development của chúng tôi đã hỗ trợ tận tình để đảm bảo quá trình kiểm tra bảo mật của khách hàng diễn ra suôn sẻ, cả về thủ tục giấy tờ và khía cạnh kỹ thuật. Quá trình này bao gồm:

Đội ngũ Business Development

• Hỗ trợ xử lý các thủ tục giấy tờ theo deadline của khách hàng, đảm bảo đúng quy định và tiêu chuẩn của lĩnh vực.
• Phối hợp với team nội bộ để tập trung vào dự án, đồng thời giám sát chặt chẽ quá trình thực hiện dự án đảm bảo đúng tiến độ khách hàng đặt ra dù thời gian có hạn.

Đội ngũ Security Engineering

• Ngăn chặn việc truy cập trái phép vào thông tin vé của bất kỳ người dùng nào, duy trì tính toàn vẹn của dữ liệu cá nhân và giao dịch của người dùng.
• Áp dụng các biện pháp bảo mật tiên tiến nhằm ngăn ngừa nguy cơ bị khai thác lỗ hổng liên quan đến luồng mua bán vé các sự kiện giải trí. Cách tiếp cận toàn diện này đảm bảo rằng mọi bước của quy trình đều nhắm đến đúng lỗ hổng.
• Tăng cường bảo mật khi sử dụng JWT làm phương thức xác thực. JWT nổi tiếng về tính hiệu quả trong bảo mật và chúng tôi đã khai thác các khả năng của nó để cung cấp cho khách hàng một cơ chế xác thực mạnh mẽ.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Sau khi sử dụng giải pháp của CyStack, ActiUp đã tìm ra những lỗ hổng của sản phẩm hiện tại. Trước đây tôi không thật sự quan tâm tới vấn đề này, nhưng khi sự cố xảy ra thì tôi mới nhận ra tầm quan trọng của việc bảo vệ sản phẩm công nghệ của mình. Tôi sẽ tiếp tục đầu tư vào an ninh mạng.” - Ông Nguyễn Hoàng Tuấn, Tổng Giám đốc Techhaus Vietnam.

“Việc số lượng vé bị phân phối không thể kiểm soát và rò rỉ thông tin trước khi mở cổng bán đã để lại hậu quả nghiêm trọng cho ActiUp và Techhaus. Tuy nhiên, với giải pháp Kiểm thử xâm nhập của CyStack, chúng tôi giờ đây đã yên tâm hơn về hệ thống bảo mật của mình.” - Bà Phan Gia Mẫn Vy, Business Analyst Leader Techhaus Vietnam.