Sa PHDays 9 sa unang higayon isip kabahin sa cyber battle Usa ka hackathon alang sa mga developer ang nahitabo. Samtang ang mga tigdepensa ug mga tig-atake nakigbugno sulod sa duha ka adlaw alang sa pagkontrolar sa siyudad, ang mga developers kinahanglang mag-update sa pre-written ug deployed nga mga aplikasyon ug pagsiguro nga sila modagan nga hapsay atubangan sa usa ka barrage sa mga pag-atake. Isulti namo kanimo kung unsa ang gigikanan niini.
Ang mga non-commercial nga proyekto lamang nga gisumite sa ilang mga tagsulat ang gidawat nga moapil sa hackathon. Nakadawat mi og mga aplikasyon gikan sa upat ka proyekto, apan usa ra ang napili - bitaps (). Ang team nag-analisar sa blockchain sa Bitcoin, Ethereum ug uban pang alternatibong mga cryptocurrencies, nagproseso sa mga pagbayad ug nagpalambo sa usa ka cryptocurrency wallet.
Pipila ka adlaw sa wala pa magsugod ang kompetisyon, ang mga partisipante nakadawat og hilit nga pag-access sa imprastraktura sa pasugalan aron i-install ang ilang aplikasyon (kini gi-host sa usa ka wala mapanalipdan nga bahin). Sa The Standoff, ang mga tig-atake, dugang sa imprastraktura sa virtual nga lungsod, kinahanglan nga atakehon ang aplikasyon ug isulat ang bug bounty nga mga taho sa mga kahuyangan nga nakit-an. Human makumpirma sa mga organizer ang presensya sa mga sayup, ang mga developer mahimoβg matul-id kini kung gusto nila. Alang sa tanan nga nakumpirma nga mga kahuyangan, ang nag-atake nga grupo nakadawat usa ka ganti sa publiko (ang dula nga salapi sa The Standoff), ug ang development team gipamulta.
Usab, sumala sa mga termino sa kompetisyon, ang mga tig-organisar mahimong magtakda sa mga buluhaton sa mga partisipante aron mapaayo ang aplikasyon: hinungdanon nga ipatuman ang bag-ong pagpaandar nga dili makahimo mga sayup nga makaapekto sa seguridad sa serbisyo. Alang sa matag minuto sa husto nga operasyon sa aplikasyon ug alang sa pagpatuman sa mga pagpaayo, ang mga nag-develop gihatagan ug bililhon nga pondo sa publiko. Kung adunay nakit-an nga kahuyang sa proyekto, ingon man sa matag minuto nga downtime o dili husto nga operasyon sa aplikasyon, kini gitangtang. Gibantayan kini pag-ayo sa among mga robot: kung nakit-an nila ang usa ka problema, among gitaho kini sa grupo sa bitap, gihatagan sila usa ka higayon nga masulbad ang problema. Kung dili kini mawagtang, kini nagdala sa mga kapildihan. Ang tanan sama ra sa kinabuhi!
Sa unang adlaw sa kompetisyon, gisulayan sa mga tig-atake ang serbisyo. Sa pagtapos sa adlaw, nakadawat lang kami og pipila ka mga taho sa mga menor de edad nga mga kahuyangan sa aplikasyon, nga ang mga lalaki gikan sa mga bitips dali nga naayo. Mga alas 23 sa gabii, sa dihang hapit na mauwaw ang mga partisipante, nakadawat sila og proposal gikan kanamo aron mapaayo ang software. Dili sayon ββang buluhaton. Base sa pagproseso sa pagbayad nga anaa sa aplikasyon, gikinahanglan ang pagpatuman sa usa ka serbisyo nga magtugot sa pagbalhin sa mga token tali sa duha ka pitaka gamit ang usa ka link. Ang nagpadala sa pagbayad - ang tiggamit sa serbisyo - kinahanglan nga mosulod sa kantidad sa usa ka espesyal nga panid ug ipakita ang password alang niini nga pagbalhin. Ang sistema kinahanglan nga maghimo usa ka talagsaon nga link nga gipadala sa nagbayad. Giablihan sa nakadawat ang link, gisulod ang password alang sa pagbalhin ug gipaila ang iyang pitaka nga makadawat sa kantidad.
Pagkadawat sa buluhaton, ang mga lalaki nalipay, ug sa alas-4 sa buntag ang serbisyo alang sa pagbalhin sa mga token pinaagi sa link andam na. Ang mga tig-atake wala maghulat kanamo ug sulod sa pipila ka oras nakadiskubre sa usa ka menor de edad nga pagkahuyang sa XSS sa gibuhat nga serbisyo ug gitaho kini kanamo. Among gisusi ug gikumpirma ang pagkaanaa niini. Malampusong giayo kini sa development team.
Sa ikaduhang adlaw, gikonsentrar sa mga hacker ang ilang pagtagad sa bahin sa opisina sa virtual nga siyudad, mao nga wala nay mga pag-atake sa aplikasyon, ug ang mga developers sa katapusan makapahulay gikan sa walay tulog nga kagabhion.
Sa pagtapos sa duha ka adlaw nga kompetisyon, nahatagan namo og mga premyo ang proyekto sa bitaps.
Ingon nga giangkon sa mga partisipante pagkahuman sa dula, gitugotan sila sa hackathon nga sulayan ang kalig-on sa aplikasyon ug gikumpirma ang taas nga lebel sa seguridad. "Ang pag-apil sa usa ka hackathon usa ka maayong higayon aron masulayan ang imong proyekto alang sa seguridad ug makaangkon og kahanas sa kalidad sa code. Nalipay kami: nakahimo kami sa pagsukol sa pag-atake sa mga nag-atake, β mipakigbahin sa iyang mga impresyon sakop sa bitaps development team Alexey Karpov. - Kini usa ka talagsaon nga kasinatian, tungod kay kinahanglan namon nga dalisay ang aplikasyon sa usa ka makapaguol nga kahimtang, alang sa kadali. Kinahanglan nimo nga isulat ang taas nga kalidad nga code, ug sa samang higayon adunay taas nga peligro nga makahimo mga sayup. Sa ingon nga mga kahimtang nagsugod ka sa paggamit sa tanan nimong kahanas. β.
Nagplano kami nga maghimo na usab ug hackathon sa sunod tuig. Sunda ang balita!
Source: www.habr.com