На PHDays 9 за първи път като част от кибербитка Проведе се хакатон за разработчици. Докато защитници и нападатели се бориха два дни за контрол над града, разработчиците трябваше да актуализират предварително написани и внедрени приложения и да гарантират, че те работят безпроблемно в лицето на порой от атаки. Ще ви кажем какво се получи от това.
За участие в хакатона бяха приети само некомерсиални проекти, изпратени от техните автори. Получихме кандидатури от четири проекта, но беше избран само един - bitaps (). Екипът анализира блокчейна на Bitcoin, Ethereum и други алтернативни криптовалути, обработва плащания и разработва портфейл за криптовалута.
Няколко дни преди началото на състезанието участниците получиха отдалечен достъп до игралната инфраструктура, за да инсталират своето приложение (то беше хоствано в незащитен сегмент). В The Standoff нападателите, освен инфраструктурата на виртуалния град, трябваше да атакуват приложението и да пишат доклади за награди за грешки за откритите уязвимости. След като организаторите потвърдиха наличието на грешки, разработчиците можеха да ги коригират, ако желаят. За всички потвърдени уязвимости, атакуващият екип получи публично награда (валутата на играта на The Standoff), а екипът за разработка беше глобен.
Също така, според условията на конкурса, организаторите можеха да поставят на участниците задачи за подобряване на приложението: важно беше да се внедри нова функционалност, без да се правят грешки, които биха повлияли на сигурността на услугата. За всяка минута правилна работа на приложението и за внедряване на подобрения, разработчиците получиха ценни публични средства. Ако беше открита уязвимост в проекта, както и за всяка минута престой или неправилна работа на приложението, те бяха отписани. Това беше внимателно наблюдавано от нашите роботи: ако открият проблем, ние го докладвахме на екипа на bitaps, давайки им шанс да отстранят проблема. Ако не беше елиминиран, това доведе до загуби. Всичко е като в живота!
В първия ден от състезанието нападателите тестваха услугата. До края на деня получихме само няколко доклада за незначителни уязвимости в приложението, които момчетата от bitaps незабавно коригираха. Около 23:XNUMX часа, когато участниците бяха на път да скучаят, те получиха предложение от нас за подобряване на софтуера. Задачата не беше лесна. Въз основа на обработката на плащанията, налична в приложението, беше необходимо да се внедри услуга, която да позволи прехвърляне на токени между два портфейла чрез връзка. Подателят на плащането - потребителят на услугата - трябва да въведе сумата на специална страница и да посочи паролата за този превод. Системата трябва да генерира уникален линк, който се изпраща на получателя. Получателят отваря линка, въвежда паролата за превода и посочва портфейла си, за да получи сумата.
След като получиха задачата, момчетата се оживиха и до 4 часа сутринта услугата за прехвърляне на жетони чрез връзката беше готова. Нападателите не ни накараха да чакаме и в рамките на няколко часа откриха незначителна XSS уязвимост в създадената услуга и ни съобщиха за това. Проверихме и потвърдихме наличността му. Екипът за разработка успешно го поправи.
На втория ден хакерите концентрираха вниманието си върху офис сегмента на виртуалния град, така че нямаше повече атаки срещу приложението и разработчиците най-накрая можеха да си починат от безсънната нощ.
В края на двудневния конкурс раздадохме запомнящи се награди на проекта bitaps.
Както участниците признаха след играта, хакатонът им позволи да тестват силата на приложението и да потвърдят високото му ниво на сигурност. „Участието в хакатон е чудесен шанс да тествате вашия проект за сигурност и да придобиете опит в качеството на кода. Радваме се: успяхме да устоим на атаката на нападателите, – сподели впечатленията си член на екипа за разработка на bitaps Алексей Карпов. - Беше необичайно изживяване, тъй като трябваше да прецизираме приложението в стресова ситуация, за скорост. Трябва да пишете висококачествен код и в същото време има голям риск от грешки. В такива условия започваш да използваш всичките си умения.".
Планираме да проведем хакатон отново през следващата година. Следете новините!
Източник: www.habr.com