Ĉe PHDays 9 unuafoje kiel parto de ciberbatalo Hakatono por programistoj okazis. Dum defendantoj kaj atakantoj batalis dum du tagoj por kontrolo de la urbo, programistoj devis ĝisdatigi antaŭskribitajn kaj deplojitajn aplikaĵojn kaj certigi, ke ili funkciis glate antaŭ amaso da atakoj. Ni rakontos al vi kio rezultis el ĝi.
Nur nekomercaj projektoj prezentitaj de iliaj aŭtoroj estis akceptitaj por partopreni la hakatonon. Ni ricevis kandidatiĝojn de kvar projektoj, sed nur unu estis elektita - bitaps (). La teamo analizas la blokĉenon de Bitcoin, Ethereum kaj aliaj alternativaj kriptaj moneroj, prilaboras pagojn kaj disvolvas monujon de kripta monero.
Kelkajn tagojn antaŭ la komenco de la konkurso, partoprenantoj ricevis malproksiman aliron al la videoludada infrastrukturo por instali sian aplikaĵon (ĝi estis gastigita en senprotekta segmento). Ĉe The Standoff, atakantoj, aldone al la infrastrukturo de la virtuala urbo, devis ataki la aplikaĵon kaj verki cimgajnajn raportojn pri la trovitaj vundeblecoj. Post kiam la organizantoj konfirmis la ĉeeston de eraroj, la programistoj povus korekti ilin se ili deziras. Por ĉiuj konfirmitaj vundeblecoj, la ataka teamo ricevis rekompencon publike (la ludvaluto de The Standoff), kaj la evoluigteamo estis monpunita.
Ankaŭ, laŭ la kondiĉoj de la konkurso, la organizantoj povis agordi partoprenantojn taskojn por plibonigi la aplikaĵon: estis grave efektivigi novajn funkciojn sen fari erarojn, kiuj influus la sekurecon de la servo. Por ĉiu minuto de ĝusta funkciado de la aplikaĵo kaj por efektivigo de plibonigoj, la programistoj ricevis altvalorajn publikajn financojn. Se vundebleco estis trovita en la projekto, same kiel por ĉiu minuto da malfunkcio aŭ malĝusta funkciado de la aplikaĵo, ili estis forigitaj. Ĉi tio estis atente monitorita de niaj robotoj: se ili trovis problemon, ni raportis ĝin al la bitaps-teamo, donante al ili ŝancon ripari la problemon. Se ĝi ne estis eliminita, ĝi kaŭzis perdojn. Ĉio estas kiel en la vivo!
En la unua tago de la konkurso, la atakantoj testis la servon. Ĝis la fino de la tago, ni ricevis nur kelkajn raportojn pri negravaj vundeblecoj en la aplikaĵo, kiujn la uloj de bitaps rapide riparis. Ĉirkaŭ la 23-a, kiam la partoprenantoj estis enuiĝaj, ili ricevis proponon de ni plibonigi la programaron. La tasko ne estis facila. Surbaze de la pagtraktado disponebla en la aplikaĵo, estis necese efektivigi servon, kiu permesus translokigi ĵetonojn inter du monujoj per ligilo. La sendinto de la pago - la uzanto de la servo - devas enigi la sumon sur speciala paĝo kaj indiki la pasvorton por ĉi tiu translokigo. La sistemo devas generi unikan ligon kiu estas sendita al la pagito. La ricevanto malfermas la ligon, enigas la pasvorton por la translokigo kaj indikas sian monujon por ricevi la sumon.
Ricevinte la taskon, la infanoj vigliĝis, kaj je la 4-a matene la servo por transloki ĵetonojn per la ligilo estis preta. La atakantoj ne atendis nin kaj ene de kelkaj horoj malkovris negravan XSS-vunereblecon en la kreita servo kaj raportis ĝin al ni. Ni kontrolis kaj konfirmis ĝian haveblecon. La disvolva teamo sukcese riparis ĝin.
En la dua tago, la piratoj koncentris sian atenton sur la oficeja segmento de la virtuala urbo, do ne plu estis atakoj kontraŭ la aplikaĵo, kaj la programistoj povis finfine ripozi de sendorma nokto.
Fine de la dutaga konkurso, ni aljuĝis al la projekto bitaps memorindajn premiojn.
Kiel la partoprenantoj konfesis post la ludo, la hakatono permesis al ili testi la forton de la aplikaĵo kaj konfirmi ĝian altan nivelon de sekureco. "Partopreno en hakatono estas bonega ŝanco testi vian projekton pri sekureco kaj akiri kompetentecon pri kodkvalito. Ni ĝojas: ni sukcesis rezisti la atakon de la atakantoj, — konigis siajn impresojn membro de la bitaps evolua teamo Alexey Karpov. - Estis nekutima sperto, ĉar ni devis rafini la aplikon en streĉa situacio, por rapideco. Vi devas skribi altkvalitan kodon, kaj samtempe estas alta risko fari erarojn. En tiaj kondiĉoj vi komencas uzi ĉiujn viajn kapablojn.".
Ni planas okazigi hakatonon denove venontjare. Sekvu la novaĵojn!
fonto: www.habr.com