في PHDays 9 لأول مرة كجزء من معركة إلكترونية تم عقد هاكاثون للمطورين. وبينما كان المدافعون والمهاجمون يتقاتلون لمدة يومين للسيطرة على المدينة، كان على المطورين تحديث التطبيقات المكتوبة مسبقًا والمنشورة والتأكد من أنها تعمل بسلاسة في مواجهة وابل من الهجمات. سنخبرك بما جاء منه.
تم قبول المشاريع غير التجارية المقدمة من مؤلفيها فقط للمشاركة في الهاكاثون. لقد تلقينا طلبات من أربعة مشاريع، ولكن تم اختيار مشروع واحد فقط - bitaps (). يقوم الفريق بتحليل blockchain الخاص بـ Bitcoin و Ethereum وغيرها من العملات المشفرة البديلة، ويقوم بمعالجة المدفوعات وتطوير محفظة للعملات المشفرة.
قبل أيام قليلة من بدء المسابقة، حصل المشاركون على إمكانية الوصول عن بعد إلى البنية التحتية للألعاب لتثبيت تطبيقهم (تم استضافته في قطاع غير محمي). في The Standoff، كان على المهاجمين، بالإضافة إلى البنية التحتية للمدينة الافتراضية، مهاجمة التطبيق وكتابة تقارير عن مكافآت الأخطاء حول نقاط الضعف التي تم العثور عليها. وبعد أن أكد المنظمون وجود أخطاء، يمكن للمطورين تصحيحها إذا رغبوا في ذلك. بالنسبة لجميع نقاط الضعف المؤكدة، حصل الفريق المهاجم على مكافأة علنية (عملة اللعبة The Standoff)، وتم تغريم فريق التطوير.
أيضًا، وفقًا لشروط المسابقة، يمكن للمنظمين تعيين مهام للمشاركين لتحسين التطبيق: كان من المهم تنفيذ وظائف جديدة دون ارتكاب أخطاء قد تؤثر على أمان الخدمة. مقابل كل دقيقة من التشغيل الصحيح للتطبيق وتنفيذ التحسينات، حصل المطورون على أموال عامة ثمينة. إذا تم العثور على ثغرة أمنية في المشروع، وكذلك لكل دقيقة من التوقف أو التشغيل غير الصحيح للتطبيق، فسيتم شطبها. تمت مراقبة ذلك عن كثب من قبل الروبوتات لدينا: إذا عثروا على مشكلة، فإننا نقوم بإبلاغ فريق bitaps بها، مما يمنحهم فرصة لإصلاح المشكلة. إذا لم يتم القضاء عليه، أدى إلى خسائر. كل شيء كما هو الحال في الحياة!
وفي اليوم الأول من المسابقة، اختبر المهاجمون الخدمة. بحلول نهاية اليوم، لم نتلق سوى عدد قليل من التقارير عن نقاط الضعف البسيطة في التطبيق، والتي قام فريق bitaps بإصلاحها على الفور. حوالي الساعة 23 مساءً، عندما كان المشاركون على وشك الشعور بالملل، تلقوا اقتراحًا منا لتحسين البرنامج. لم تكن المهمة سهلة. بناءً على معالجة الدفع المتوفرة في التطبيق، كان من الضروري تنفيذ خدمة تسمح بنقل الرموز المميزة بين محفظتين باستخدام رابط. يجب على مرسل الدفع - مستخدم الخدمة - إدخال المبلغ في صفحة خاصة والإشارة إلى كلمة المرور لهذا التحويل. يجب أن يقوم النظام بإنشاء رابط فريد يتم إرساله إلى المستفيد. يفتح المستلم الرابط، ويدخل كلمة المرور الخاصة بالتحويل ويشير إلى محفظته لاستلام المبلغ.
بعد استلام المهمة، انتعش الرجال، وبحلول الساعة الرابعة صباحًا، كانت خدمة نقل الرموز المميزة عبر الرابط جاهزة. لم يجعلنا المهاجمون ننتظر، وفي غضون ساعات قليلة اكتشفوا ثغرة أمنية بسيطة في XSS في الخدمة التي تم إنشاؤها وأبلغونا بها. لقد فحصنا وتأكدنا من توفرها. نجح فريق التطوير في إصلاحه.
في اليوم الثاني، ركز المتسللون اهتمامهم على الجزء المكتبي من المدينة الافتراضية، لذلك لم يكن هناك المزيد من الهجمات على التطبيق، وتمكن المطورون أخيرًا من الراحة من ليلة بلا نوم.
وفي نهاية المسابقة التي استمرت يومين، قمنا بمنح مشروع bitaps جوائز لا تنسى.
وكما اعترف المشاركون بعد المباراة، فإن الهاكاثون سمح لهم باختبار قوة التطبيق والتأكد من مستوى الأمان العالي الذي يتمتع به. "تعد المشاركة في الهاكاثون فرصة عظيمة لاختبار مشروعك من حيث الأمان واكتساب الخبرة في جودة التعليمات البرمجية. نحن سعداء: تمكنا من مقاومة هجوم المهاجمين، - شارك انطباعاته عضو فريق تطوير bitaps أليكسي كاربوف. - لقد كانت تجربة غير عادية، حيث كان علينا تحسين التطبيق في المواقف العصيبة من أجل السرعة. تحتاج إلى كتابة تعليمات برمجية عالية الجودة، وفي الوقت نفسه هناك خطر كبير لارتكاب الأخطاء. في مثل هذه الظروف تبدأ في استخدام كل مهاراتك.".
نحن نخطط لعقد هاكاثون مرة أخرى في العام المقبل. متابعة الأخبار!
المصدر: www.habr.com