PHDays 9-l esimest korda küberlahingu osana Toimus häkaton arendajatele. Samal ajal kui kaitsjad ja ründajad võitlesid kaks päeva linna kontrolli eest, pidid arendajad värskendama eelnevalt kirjutatud ja juurutatud rakendusi ning tagama, et need toimiksid rünnakute tulvi korral sujuvalt. Me räägime teile, mis sellest välja tuli.
Häkatonil osalemiseks võeti vastu ainult nende autorite esitatud mitteärilised projektid. Saime taotlusi neljast projektist, kuid valituks osutus ainult üks - bitaps (). Meeskond analüüsib Bitcoini, Ethereumi ja teiste alternatiivsete krüptovaluutade plokiahelat, töötleb makseid ja arendab krüptoraha rahakotti.
Mõni päev enne võistluse algust said osalejad rakenduse installimiseks kaugjuurdepääsu mängude infrastruktuurile (see oli kaitsmata segmendis). The Standoffis pidid ründajad lisaks virtuaalse linna infrastruktuurile ründama rakendust ja kirjutama leitud turvaaukude kohta veateateid. Pärast seda, kui korraldajad kinnitasid vigade olemasolu, said arendajad need soovi korral parandada. Kõigi kinnitatud haavatavuste eest sai ründav meeskond avalikult tasu (The Standoffi mänguvaluuta) ja arendusmeeskonda trahviti.
Samuti said korraldajad konkursi tingimuste kohaselt osalejatele seada ülesandeid rakenduse täiustamiseks: oluline oli juurutada uus funktsionaalsus ilma teenuse turvalisust mõjutavate vigadeta. Rakenduse korrektse töötamise ja paranduste rakendamise iga minuti eest said arendajad väärtuslikke riiklikke vahendeid. Kui projektis leiti haavatavus, samuti iga minuti seisaku või rakenduse ebaõige töö korral, siis need kanti maha. Meie robotid jälgisid seda tähelepanelikult: kui nad leidsid probleemi, teatasime sellest bitapsi meeskonnale, andes neile võimaluse probleem lahendada. Kui seda ei kõrvaldatud, põhjustas see kaotusi. Kõik on täpselt nagu elus!
Esimesel võistluspäeval testisid ründajad teenust. Päeva lõpuks saime vaid üksikuid teateid rakenduse väiksematest turvaaukudest, mille bitapsi kutid kiirelt parandasid. Kella 23 paiku, kui osalejatel hakkas igav, said nad meilt ettepaneku tarkvara täiustamiseks. Ülesanne polnud kerge. Rakenduses olemasoleva maksetöötluse põhjal oli vaja juurutada teenus, mis võimaldaks lingi abil žetoone kahe rahakoti vahel üle kanda. Makse saatja - teenuse kasutaja - peab sisestama summa spetsiaalsele lehele ja märkima selle ülekande parooli. Süsteem peab genereerima unikaalse lingi, mis saadetakse makse saajale. Saaja avab lingi, sisestab ülekande parooli ja näitab rahakotti summa kättesaamiseks.
Pärast ülesande kättesaamist elavnesid poisid ja kella neljaks hommikul oli lingi kaudu žetoonide edastamise teenus valmis. Ründajad ei jätnud meid ootama ja avastasid mõne tunni jooksul loodud teenuses väikese XSS-i haavatavuse ning andsid sellest meile teada. Kontrollisime ja kinnitasime selle saadavuse. Arendusmeeskond parandas selle edukalt.
Teisel päeval koondasid häkkerid oma tähelepanu virtuaalse linna kontorisegmendile, mistõttu rakendust enam ei rünnatud ning arendajad said lõpuks magamata ööst välja puhata.
Kahepäevase võistluse lõpus jagasime bitapide projektile meeldejäävaid auhindu.
Nagu osalejad pärast mängu tunnistasid, võimaldas häkaton testida rakenduse tugevust ja kinnitada selle kõrget turvalisust. „Häckathonil osalemine on suurepärane võimalus testida oma projekti turvalisuse tagamiseks ja omandada teadmisi koodikvaliteedi vallas. Meil on hea meel: suutsime ründajate pealetungile vastu seista, — jagas oma muljeid bitapsi arendusmeeskonna liige Aleksei Karpov. - See oli ebatavaline kogemus, kuna kiiruse huvides pidime rakendust viimistlema pingelises olukorras. Peate kirjutama kvaliteetset koodi ja samal ajal on suur vigade tegemise oht. Sellistes tingimustes hakkate kasutama kõiki oma oskusi.".
Järgmisel aastal plaanime taas häkatoni korraldada. Jälgi uudiseid!
Allikas: www.habr.com