Techhaus: Tăng cường bảo mật trên nền tảng web có nhiều người dùng với phương pháp Kiểm thử xâm nhập

Khám phá cách các chuyên gia bảo mật hệ thống bán vé kỹ thuật số ActiUp, giúp họ trở thành một nhà phát hành vé đáng tin cậy.

Techhaus Việt Nam là công ty công nghệ nổi tiếng tại Đông Nam Á chuyên cung cấp các giải pháp công nghệ về sức khỏe, thể thao và giải trí, giúp người dùng dễ dàng có lối sống lành mạnh và năng động hơn mỗi ngày.

Nền tảng ActiUp - một website chuyên phân phối vé xem các sự kiện thể thao, giải trí, âm nhạc của Techhaus - đã gặp lỗ hổng nghiêm trọng khi cho phép người dùng mua vé xem một sự kiện âm nhạc mà không cần thanh toán.

Nhận thấy tính cấp thiết của việc giải quyết tình trạng này, họ đã quyết định hợp tác với CyStack, một công ty an ninh mạng có chuyên môn trong việc xác định và giảm thiểu các mối đe dọa mạng để tăng cường bảo mật ActiUp, bảo vệ dữ liệu và giao dịch tài chính của khách hàng.

Khách hàng chủ động đến CyStack và chọn giải pháp Kiểm tra thâm nhập cũng như gửi các yêu cầu bổ sung để kiểm tra luồng logic của việc bán vé sự kiện.

Đối tượng kiểm thử: Ứng dụng web.

Các thử nghiệm của chúng tôi bao gồm:

• Configuration and Deployment Management Testing
• Identity Management Testing
• Authentication Testing
• Authorization Testing
• Session Management Testing
• Input Validation Testing
• Testing for Error Handing
• Testing for Weak Cryptography
• Business Logic Testing
• Client-side Testing
• API Testing

Các tiêu chuẩn mà nhóm chuyên gia CyStack sử dụng bao gồm:

• OWASP Testing Guide
• The Penetration Testing Execution Standard
• REST API security guidelines
• NIST SP 800-95

Thông tin kĩ thuật:

• Front-end: React, Next.js
• Back-end: PHP, không rõ framework
• Reverse Proxy: Nginx
• Triển khai cơ sở hạ tầng đám mây AWS
• Tích hợp các công cụ phân tích

Quy trình làm việc của chúng tôi:

• Lập kế hoạch và thăm dò: Xác định phạm vi và mục tiêu của cuộc kiểm thử, xác định thông tin về mạng và các hệ thống mục tiêu, đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn.
• Phân tích lỗ hổng: Xác định các lỗ hổng tiềm ẩn trong hệ thống mục tiêu bằng cách sử dụng các kỹ thuật như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình; kiểm thử các lỗ hổng phổ biến như 1‐day flaws và CVEs.
• Khai thác: Các chuyên gia cố gắng khai thác một hoặc nhiều lỗ hổng đã xác định để có được quyền truy cập trái phép vào hệ thống.
• Sau khai thác: Duy trì quyền truy cập vào hệ thống đã bị xâm nhập và leo thang đặc quyền trong hệ thống, nếu có thể.
• Báo cáo: Chuẩn bị một báo cáo tóm tắt quá trình kiểm thử, các lỗ hổng được xác định và các khuyến nghị để cải thiện tính bảo mật của hệ thống.

Bằng cách tuân thủ nghiêm ngặt các quy định kiểm tra độc lập và áp dụng các giải pháp tiên tiến, chúng tôi đã giúp khách hàng phát hiện và giải quyết các lỗ hổng, cung cấp giải pháp ứng phó kịp thời. Điều này giúp họ tránh được tổn thất tài chính trong các sự kiện trong tương lai và đảm bảo trải nghiệm bán vé an toàn và bảo mật cho người dùng trên nền tảng của họ.

Thông qua hoạt động kiểm thử xâm nhập, đội ngũ đã phát hiện nhiều lỗ hổng bảo mật ở các mức độ nghiêm trọng khác nhau và đưa ra biện pháp khắc phục phù hợp. Các giải pháp tập trung vào tăng cường cơ chế xác thực, tối ưu tính an toàn của quy trình nghiệp vụ và cứng hóa cấu hình bảo mật, qua đó giảm thiểu nguy cơ gian lận và nâng cao mức độ bảo vệ hệ thống.

Đội ngũ Engineering và Business Development của chúng tôi đã hỗ trợ tận tình để đảm bảo quá trình kiểm tra bảo mật của khách hàng diễn ra suôn sẻ, cả về thủ tục giấy tờ và khía cạnh kỹ thuật. Quá trình này bao gồm:

Đội ngũ Business Development

• Hỗ trợ xử lý các thủ tục giấy tờ theo deadline của khách hàng, đảm bảo đúng quy định và tiêu chuẩn của lĩnh vực.
• Phối hợp với team nội bộ để tập trung vào dự án, đồng thời giám sát chặt chẽ quá trình thực hiện dự án đảm bảo đúng tiến độ khách hàng đặt ra dù thời gian có hạn.

Đội ngũ Security Engineering

• Nâng cao khả năng kiểm soát truy cập để bảo vệ dữ liệu người dùng và duy trì tính toàn vẹn của hệ thống.
• Áp dụng các giải pháp bảo mật toàn diện nhằm hạn chế rủi ro phát sinh trong các luồng nghiệp vụ trọng yếu.
• Tăng cường cơ chế xác thực và cứng hóa cấu hình bảo mật để cải thiện độ an toàn chung của nền tảng.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Sau khi sử dụng giải pháp của CyStack, ActiUp đã tìm ra những lỗ hổng của sản phẩm hiện tại. Trước đây tôi không thật sự quan tâm tới vấn đề này, nhưng khi sự cố xảy ra thì tôi mới nhận ra tầm quan trọng của việc bảo vệ sản phẩm công nghệ của mình. Tôi sẽ tiếp tục đầu tư vào an ninh mạng.” - Ông Nguyễn Hoàng Tuấn, Tổng Giám đốc Techhaus Vietnam.

“Việc số lượng vé bị phân phối không thể kiểm soát và rò rỉ thông tin trước khi mở cổng bán đã để lại hậu quả nghiêm trọng cho ActiUp và Techhaus. Tuy nhiên, với giải pháp Kiểm thử xâm nhập của CyStack, chúng tôi giờ đây đã yên tâm hơn về hệ thống bảo mật của mình.” - Bà Phan Gia Mẫn Vy, Business Analyst Leader Techhaus Vietnam.