By PHDays 9 vir die eerste keer as deel van 'n kuberstryd 'n Hackathon vir ontwikkelaars het plaasgevind. Terwyl verdedigers en aanvallers twee dae lank geveg het om beheer oor die stad, moes ontwikkelaars voorafgeskrewe en ontplooide toepassings opdateer en verseker dat dit glad verloop te midde van 'n stortvloed aanvalle. Ons sal jou vertel wat daarvan gekom het.
Slegs nie-kommersiële projekte wat deur hul outeurs ingedien is, is aanvaar om aan die hackathon deel te neem. Ons het aansoeke van vier projekte ontvang, maar net een is gekies - bitaps (). Die span ontleed die blokketting van Bitcoin, Ethereum en ander alternatiewe cryptocurrencies, verwerk betalings en ontwikkel 'n cryptocurrency-beursie.
'n Paar dae voor die aanvang van die kompetisie het deelnemers afstandtoegang tot die speletjie-infrastruktuur ontvang om hul toepassing te installeer (dit is in 'n onbeskermde segment aangebied). By The Standoff moes aanvallers, benewens die infrastruktuur van die virtuele stad, die toepassing aanval en foutvryheidsverslae skryf oor die kwesbaarhede wat gevind is. Nadat die organiseerders die teenwoordigheid van foute bevestig het, kon die ontwikkelaars dit regstel as hulle sou wou. Vir alle bevestigde kwesbaarhede het die aanvallende span 'n beloning in die openbaar ontvang (die spelgeldeenheid van The Standoff), en die ontwikkelingspan is beboet.
Ook, volgens die bepalings van die kompetisie, kon die organiseerders deelnemers take stel om die toepassing te verbeter: dit was belangrik om nuwe funksionaliteit te implementeer sonder om foute te maak wat die sekuriteit van die diens sou beïnvloed. Vir elke minuut van die korrekte werking van die toepassing en vir die implementering van verbeterings, is kosbare openbare fondse aan die ontwikkelaars toegeken. As 'n kwesbaarheid in die projek gevind is, sowel as vir elke minuut van stilstand of verkeerde werking van die toepassing, is dit afgeskryf. Dit is noukeurig deur ons robotte gemonitor: as hulle 'n probleem gevind het, het ons dit by die bitaps-span aangemeld, wat hulle 'n kans gegee het om die probleem op te los. As dit nie uitgeskakel is nie, het dit tot verliese gelei. Alles is net soos in die lewe!
Op die eerste dag van die kompetisie het die aanvallers die diens getoets. Teen die einde van die dag het ons net 'n paar verslae ontvang van geringe kwesbaarhede in die toepassing, wat die ouens van bitaps dadelik reggemaak het. Omstreeks 23:XNUMX, toe die deelnemers besig was om verveeld te raak, het hulle 'n voorstel van ons ontvang om die sagteware te verbeter. Die taak was nie maklik nie. Op grond van die betalingsverwerking wat in die toepassing beskikbaar is, was dit nodig om 'n diens te implementeer wat dit moontlik maak om tokens tussen twee beursies oor te dra deur 'n skakel te gebruik. Die sender van die betaling - die gebruiker van die diens - moet die bedrag op 'n spesiale bladsy invoer en die wagwoord vir hierdie oordrag aandui. Die stelsel moet 'n unieke skakel genereer wat na die begunstigde gestuur word. Die ontvanger maak die skakel oop, voer die wagwoord vir die oordrag in en dui sy beursie aan om die bedrag te ontvang.
Nadat hulle die taak ontvang het, het die ouens opgeknap, en teen 4 uur in die oggend was die diens vir die oordrag van tokens via die skakel gereed. Die aanvallers het nie op ons laat wag nie en het binne 'n paar uur 'n geringe XSS-kwesbaarheid in die geskepde diens ontdek en dit aan ons gerapporteer. Ons het die beskikbaarheid daarvan nagegaan en bevestig. Die ontwikkelingspan het dit suksesvol reggemaak.
Op die tweede dag het die kuberkrakers hul aandag op die kantoorsegment van die virtuele stad gekonsentreer, so daar was nie meer aanvalle op die toepassing nie, en die ontwikkelaars kon uiteindelik rus van 'n slapelose nag.
Aan die einde van die tweedaagse kompetisie het ons die bitaps-projek onvergeetlike pryse toegeken.
Soos die deelnemers na die wedstryd erken het, het die hackathon hulle toegelaat om die sterkte van die toepassing te toets en die hoë vlak van sekuriteit te bevestig. “Deelname aan 'n hackathon is 'n wonderlike kans om jou projek vir sekuriteit te toets en kundigheid in kodegehalte op te doen. Ons is bly: ons het daarin geslaag om die aanvalle van die aanvallers te weerstaan, - het sy indrukke gedeel lid van die bitaps-ontwikkelingspan Alexey Karpov. - Dit was 'n ongewone ervaring, aangesien ons die toepassing in 'n stresvolle situasie moes verfyn, vir spoed. Jy moet kode van hoë gehalte skryf, en terselfdertyd is daar 'n hoë risiko om foute te maak. In sulke toestande begin jy al jou vaardighede gebruik.”.
Ons beplan om volgende jaar weer 'n hackathon te hou. Volg die nuus!
Bron: will.com