À PHDays 9 per a prima volta cum'è parte di una battaglia cibernetica Un hackathon per i sviluppatori hè statu fattu. Mentre i difensori è l'attaccanti anu battutu per dui ghjorni per u cuntrollu di a cità, i sviluppatori anu avutu à aghjurnà l'applicazioni pre-scritte è implementate è assicuratevi di sdrughjenu bè in faccia à una barra di attacchi. Vi diceremu ciò chì hè ghjuntu.
Solu i prughjetti micca cummerciale sottumessi da i so autori sò stati accettati per participà à l'hackathon. Avemu ricevutu applicazioni da quattru prughjetti, ma solu unu hè statu sceltu - bitaps (). A squadra analizeghja u blockchain di Bitcoin, Ethereum è altre cripthe di cripthe alternative, processa pagamenti è sviluppa una billetera di criptocurrency.
Uni pochi ghjorni prima di l'iniziu di a cumpetizione, i participanti anu ricivutu accessu remotu à l'infrastruttura di u ghjocu per installà a so applicazione (hè stata ospitata in un segmentu senza prutezzione). À u Standoff, l'attaccanti, in più di l'infrastruttura di a cità virtuale, anu da attaccà l'applicazione è scrive rapporti di bug bounty nantu à e vulnerabilità truvate. Dopu chì l'urganizatori anu cunfirmatu a prisenza di l'errori, i sviluppatori puderanu correggerli si vulianu. Per tutti i vulnerabili cunfirmati, a squadra attaccante hà ricivutu una ricumpensa in publicu (a valuta di u ghjocu di The Standoff), è a squadra di sviluppu hè stata multata.
Inoltre, sicondu i termini di a cumpetizione, l'urganizatori puderanu stabilisce i compiti di i participanti per migliurà l'applicazione: era impurtante implementà una nova funziunalità senza sbaglià chì affettanu a sicurità di u serviziu. Per ogni minutu di funziunamentu currettu di l'applicazione è per l'implementazione di migliure, i sviluppatori sò stati premiati fondi publichi preziosi. Se una vulnerabilità hè stata truvata in u prugettu, è ancu per ogni minutu di downtime o operazione incorrecta di l'applicazione, sò stati scritti. Questu hè statu attentamente monitoratu da i nostri robots: se anu truvatu un prublema, avemu infurmatu à a squadra di bitaps, dendu l'uppurtunità di risolve u prublema. S'ellu ùn era micca eliminatu, hà purtatu à perdite. Tuttu hè cum'è in a vita!
U primu ghjornu di a cumpetizione, l'attaccanti anu pruvatu u serviziu. À a fine di u ghjornu, avemu ricivutu solu uni pochi di raporti di vulnerabili minori in l'applicazione, chì i ragazzi da i bitaps anu prontamente fissatu. Versu 23 p.m., quandu i participanti stavanu per annunzià, anu ricevutu una pruposta da noi per migliurà u software. U compitu ùn era micca faciule. Basatu nantu à u prucessu di pagamentu dispunibule in l'applicazione, era necessariu implementà un serviziu chì permetterà di trasferisce tokens trà dui portafogli cù un ligame. U mittente di u pagamentu - l'utilizatore di u serviziu - deve inserisce a quantità in una pagina speciale è indicà a password per stu trasferimentu. U sistema deve generà un ligame unicu chì hè mandatu à u beneficiariu. U destinatariu apre u ligame, inserisce a password per u trasferimentu è indica a so billetera per riceve a quantità.
Dopu avè ricivutu u compitu, i picciotti s'animu, è à 4 ore di a matina u serviziu di trasferimentu di tokens via u ligame era prontu. L'attaccanti ùn ci anu micca tenutu aspittendu è in pochi ore anu scupertu una vulnerabilità XSS minore in u serviziu creatu è ci anu infurmatu. Avemu verificatu è cunfirmatu a so dispunibilità. A squadra di sviluppu hà riparatu cù successu.
U sicondu ghjornu, i pirate anu cuncentratu a so attenzione nantu à u segmentu di l'uffiziu di a cità virtuale, cusì ùn ci era più attacchi à l'applicazione, è i sviluppatori puderanu infine riposu da una notte senza dorme.
À a fine di a cumpetizione di dui ghjorni, avemu premiatu u prughjettu bitaps premii memorabili.
Cum'è i participanti ammessi dopu à u ghjocu, l'hackathon li hà permessu di pruvà a forza di l'applicazione è cunfirmà u so altu livellu di sicurità. "A participazione à un hackathon hè una grande chance per pruvà u vostru prughjettu per a sicurità è acquistà sapè fà in qualità di codice. Semu cuntenti : avemu riesciutu à resiste à l'assaltu di l'attaccanti, - hà spartutu e so impressioni membru di u squadra di sviluppu bitaps Alexey Karpov. - Hè stata una sperienza inusual, postu chì avemu avutu à raffinà l'applicazione in una situazione stressante, per a rapidità. Avete bisognu di scrive codice d'alta qualità, è à u stessu tempu ci hè un altu risicu di sbaglià. In tali cundizioni, cuminciate à aduprà tutte e vostre cumpetenze "..
Avemu pianificatu di fà un hackathon di novu l'annu prossimu. Segui a nutizia !
Source: www.habr.com