Audit hệ thống Crypto Exchange
Mang lại sự an toàn cho giao dịch tiền điện tử.
Tóm lược
Tokyo Tech Lab đã thực hiện pentest toàn diện và audit toàn bộ mã nguồn (source code) cũng như hạ tầng triển khai hệ thống của khách hàng chỉ trong vòng 14 ngày và đã phát hiện tất cả các lỗ hổng có thể khiến hệ thống bị tấn công.
Mô tả dự án
Giao dịch tiền điện tử đang ngày càng dễ có nguy cơ bị tấn công. Chỉ tính riêng trong năm 2021, đã ghi nhận hơn bốn vụ đánh cắp tiền điện tử lớn trên một số sàn giao dịch tiền điện tử lớn nhất thế giới. Theo trang CoinDesk, kể từ năm 2011 đã có hơn 7,6 tỉ đô la tiền điện tử bị đánh cắp, và việc hacker đang tìm ra những cách mới để phá vỡ hệ thống bảo mật, khiến cho tình hình an ninh mạng ngày càng trở nên tồi tệ hơn.
Khách hàng của chúng tôi đã nhận thức được những rủi ro liên quan đến giao dịch tiền điện tử. Do đó, họ mong muốn thực hiện pentest toàn bộ hệ thống, audit cẩn thận mã nguồn của nền tảng giao dịch tiền điện tử họ mới phát triển nhằm phát hiện ra những lỗ hổng tiềm tàng. Ba tuần trước ngày phát hành nền tảng giao dịch, khách hàng đã tìm đến Tokyo Tech Lab, nhờ chúng tôi hiện thực hoá mong muốn của họ.
Đội ngũ của chúng tôi đã được cấp tất cả những quyền cần thiết trong 14 ngày để tiến hành pentest và audit. Trọng tâm của cuộc điều tra này là thực hiện nhiều hoạt động điều tra và tấn công để phát hiện, xác nhận các lỗ hổng đang tồn tại trong hệ thống. Mục tiêu của chúng tôi là kiểm tra toàn bộ kiến trúc hệ thống, đánh giá mạng lưới, xác định các subsystem liên quan, tìm ra các lỗ hổng, và báo cáo kết quả điều tra cho khách hàng.
Xem thêm
Chỉ trong một thời gian ngắn, nhóm đã áp dụng quy trình đánh giá đơn giản hóa sau
1
Hiểu tình trạng hệ thống
2
Xác định phạm vi kiểm tra
3
Thực hiện kiểm tra
4
Báo cáo vấn đề
5
Kiểm tra lại bản sửa lỗi
Sau khi phát hành hệ thống, Tokyo Tech Lab tiếp tục hỗ trợ khách hàng trong việc đảm bảo tính bảo mật của hệ thống, phân tích kỹ lưỡng tất cả các rủi ro trong hệ thống và đề xuất các kế hoạch cải tiến. Chúng tôi cũng thường xuyên tiến hành pentest & audit trước khi chính thức phát hành các phiên bản cập nhật.
Kết quả đạt được
Trong quá trình audit toàn bộ cơ sở hạ tầng cũng như mã nguồn (source code) hệ thống của khách hàng, Tokyo Tech Lab đã phát hiện hơn 30 vấn đề liên quan đến bảo mật trong đó có 10 lỗ hổng nghiêm trọng cần được khắc phục trước khi chính thức phát hành.
Yếu kém trong khâu quản trị
Nhiều API không hạn chế quyền truy cập
Sử dụng một số phiên bản phần mềm đã lỗi thời
Khả năng tương thích trên di động và việc xác thực 2 lớp
Không giới hạn số lượng yêu cầu lên hệ thống
Ngoài ra, hệ thống cũng gặp vấn đề về việc sử dụng các phiên bản lỗi thời của các phần mềm như Apache, OpenSSL, jQuery, Bootstrap, Vue, Laravel, PHP. Đây chính là nguy cơ tiềm ẩn, cho phép hacker lợi dụng để tấn công, truy cập trái phép. Đặc biệt trong trường hợp công ty muốn quảng bá nền tảng giao dịch tiền điện tử của mình là một nền tảng hiện đại, có tính bảo mật cao thì không nên sử dụng những phiên bản, phần mềm đã lỗi thời ngay từ giai đoạn đầu.
Công nghệ sử dụng
Xem thêm các
Dự án tiêu biểu
Hệ thống Logistics SaaS
Thúc đẩy ngành logistics Nhật Bản thông qua chuyển đổi số.
Tokyo Tech Lab đã phát triển hệ thống theo mô hình SaaS (Software as a Service) đạt hiệu năng cao, dễ dàng mở rộng và đang được các công ty logistics sử dụng trên khắp Nhật Bản.
Web App
Quality Assurance
Cyber Security
Ứng dụng phân tích chất lượng giấc ngủ
Phân tích chất lượng giấc ngủ của khách hàng để tư vấn sản phẩm phù hợp.
Tokyo Tech Lab đã giúp Airweave xây dựng ứng dụng mobile có giao diện thân thiện, hoạt động hiệu quả đồng thời cung cấp hệ thống CRM (Customer Relationship Management) để quản lý dữ liệu khách hàng một cách đơn giản và thuận tiện.
Quality Assurance
Cyber Security
Vui lòng để lại thông tin, chúng tôi sẽ liên hệ với bạn trong thời gian sớm nhất.
Về Tokyo Tech Lab
Dịch vụ và giải pháp
Liên hệ
© 2023 Tokyo Tech Lab. All Rights Reserved.