Na PHDays 9 po prvi put kao dio sajber bitke
Za učešće na hakatonu primljeni su samo nekomercijalni projekti koje su prijavili njihovi autori. Dobili smo prijave iz četiri projekta, ali je odabran samo jedan - bitaps (
Nekoliko dana prije početka takmičenja, učesnici su dobili daljinski pristup igračkoj infrastrukturi kako bi instalirali svoju aplikaciju (hostovana je u nezaštićenom segmentu). Na The Standoff-u, napadači su, pored infrastrukture virtuelnog grada, morali da napadnu aplikaciju i napišu izveštaje o greškama o pronađenim ranjivostima. Nakon što su organizatori potvrdili prisustvo grešaka, programeri su ih mogli ispraviti ako žele. Za sve potvrđene ranjivosti, napadački tim je dobio nagradu u javnosti (valuta igre The Standoff), a razvojni tim je kažnjen.
Takođe, prema uslovima konkursa, organizatori su učesnicima mogli da postave zadatke da unaprede aplikaciju: bilo je važno implementirati novu funkcionalnost bez grešaka koje bi uticale na bezbednost usluge. Za svaki minut ispravnog rada aplikacije i za implementaciju poboljšanja, programeri su nagrađeni dragocjenim javnim sredstvima. Ako je pronađena ranjivost u projektu, kao i za svaki minut zastoja ili neispravan rad aplikacije, oni su otpisani. To su pomno pratili naši roboti: ako su otkrili problem, prijavili smo ga bitaps timu, dajući im priliku da riješe problem. Ako se ne eliminiše, to je dovelo do gubitaka. Sve je kao u životu!
Prvog dana takmičenja napadači su testirali servis. Do kraja dana dobili smo samo nekoliko prijava manjih ranjivosti u aplikaciji, koje su momci iz bitapsa brzo ispravili. Oko 23 sata, kada je učesnicima već bilo dosadno, dobili su od nas prijedlog za poboljšanje softvera. Zadatak nije bio lak. Na osnovu obrade plaćanja koja je dostupna u aplikaciji, bilo je potrebno implementirati uslugu koja bi omogućila prijenos tokena između dva novčanika putem veze. Pošiljalac uplate - korisnik usluge - mora uneti iznos na posebnoj stranici i navesti lozinku za ovaj transfer. Sistem mora generirati jedinstvenu vezu koja se šalje primaocu plaćanja. Primalac otvara link, unosi lozinku za transfer i ukazuje na svoj novčanik da primi iznos.
Dobivši zadatak, momci su se oživjeli, a do 4 sata ujutro servis za prijenos tokena putem linka bio je spreman. Napadači nas nisu tjerali da čekamo te su u roku od nekoliko sati otkrili manju XSS ranjivost u kreiranom servisu i prijavili nam je. Provjerili smo i potvrdili njegovu dostupnost. Razvojni tim je to uspješno popravio.
Drugog dana hakeri su koncentrisali pažnju na kancelarijski segment virtuelnog grada, tako da više nije bilo napada na aplikaciju, a programeri su konačno mogli da se odmore od neprospavane noći.
Na kraju dvodnevnog takmičenja, projektu bitaps dodijelili smo nezaboravne nagrade.
Kako su učesnici nakon utakmice priznali, hakaton im je omogućio da testiraju snagu aplikacije i potvrde njen visok nivo sigurnosti. “Učešće u hakatonu je odlična prilika da testirate sigurnost vašeg projekta i steknete stručnost u kvaliteti koda. Drago nam je: uspeli smo da se odupremo naletu napadača, – podijelio je svoje utiske član razvojnog tima bitapsa Aleksej Karpov. - Bilo je to neobično iskustvo, jer smo zbog brzine morali doraditi aplikaciju u stresnoj situaciji. Morate napisati visokokvalitetan kod, a istovremeno postoji veliki rizik od greške. U takvim uslovima počinjete da koristite sve svoje veštine.".
Planiramo da sljedeće godine ponovo održimo hakaton. Pratite vijesti!
izvor: www.habr.com