2022-es biztonsági audit a Linkspirit által
A Psono-nál komolyan vesszük a biztonságot, és mindent megteszünk annak érdekében, hogy megvédjük felhasználóink jelszavait. Nagyon izgatottak voltunk, amikor a Linkspirit felvette velünk a kapcsolatot, és felajánlotta szolgáltatását, hogy ingyenesen auditálja a Psono-t, különösen annak fényében, hogy eddig soha nem vizsgálta külső fél a Psono-t.
A Linkspirit egy olasz cég, amely több mint egy évtizedes tapasztalattal rendelkezik az IT biztonság terén, és mára az IT biztonsági szolgáltatások élvonalába emelkedett Olaszországban. Portfóliójuk széles spektrumot lefed, például:
- sebezhetőségi értékelések
- penetrációs tesztek
- alkalmazásbiztonsági ellenőrzések
- kiberbiztonsági értékelések
Szakértelmük és kompetenciájuk megkérdőjelezhetetlen, így ideális választásnak bizonyultak a Psono auditálására.
A folyamat rendkívül egyszerű volt. A Linkspirit SSH hozzáférést biztosított egy Linux szerverhez, és telepítettük a Psono-t a nyilvánosan elérhető dokumentáció alapján. Különösen a kliens, a szerver és az admin portált docker konténerekben telepítettük. Egy nginx webszerver szolgált reverz proxyként, amelyet a szokásos telepítési útmutató szerint konfiguráltunk az SSL kezelésére. A tanúsítványt a letsencrypt biztosította.
A Linkspirit elvégezte a Psono auditját, különös figyelmet fordítva a lehetséges injektálási pontokra, hitelesítési és jogosultsági szabályok megsértésére, hibás ellenőrzésekre, és alaposan átvizsgálta az összes biztonsági headert. A teljes körű átláthatóság érdekében az audit teljes eredménye itt érhető el.
Megkönnyebbülten és örömmel jelenthetjük, hogy nem találtak komolyabb problémákat, csak néhány kisebb, "alig kihasználható sebezhetőséget".
"Gratulálunk a jól strukturált és jól megírt kódhoz, ez az első alkalom, hogy ennyire kis számú és ilyen alacsony hatású sebezhetőséggel találkozunk."
Nem tudunk elég hálásak lenni a Linkspirit-nek a munkájukért! Kitartó munkájuknak köszönhetően mi is nyugodtabban alszunk!
