PHDays 9-n, lehen aldiz, ziber bataila baten barruan Garatzaileentzako hackaton bat egin zen. Defendatzaileek eta erasotzaileek hiriaren kontrolerako bi egunez borrokatu zuten bitartean, garatzaileek aurrez idatzitako eta zabaldutako aplikazioak eguneratu behar izan zituzten eta eraso ugariren aurrean ondo funtzionatzen zutela ziurtatu. Zer atera zen kontatuko dizugu.
Haien egileek aurkeztutako proiektu ez-komertzialak soilik onartu ziren hackaton parte hartzeko. Lau proiektutako eskaerak jaso genituen, baina bakarra hautatu zen - bitaps (). Taldeak Bitcoin, Ethereum eta beste kripto-moneta alternatiboen bloke-katea aztertzen du, ordainketak prozesatzen ditu eta kriptomoneta-zorro bat garatzen du.
Lehiaketa hasi baino egun batzuk lehenago, parte-hartzaileek joko-azpiegiturarako urrutiko sarbidea jaso zuten euren aplikazioa instalatzeko (babestu gabeko segmentu batean ostatatuta zegoen). The Standoff-en, erasotzaileek, hiri birtualeko azpiegituraz gain, aplikazioari eraso egin behar izan zioten eta aurkitutako ahultasunei buruzko akatsen sari txostenak idatzi behar izan zituzten. Antolatzaileek akatsak daudela baieztatu ondoren, garatzaileek zuzendu ditzakete nahi izanez gero. Konfirmatutako ahultasun guztiengatik, talde erasotzaileak sari bat jaso zuen jendaurrean (The Standoff-en jokoaren moneta) eta garapen taldeari isuna jarri zioten.
Era berean, lehiaketaren baldintzen arabera, antolatzaileek parte-hartzaileen zereginak ezar ditzakete aplikazioa hobetzeko: garrantzitsua zen funtzionalitate berriak ezartzea zerbitzuaren segurtasunean eragingo zuten akatsik egin gabe. Aplikazioaren funtzionamendu zuzenaren minutu bakoitzeko eta hobekuntzak ezartzeko, sustatzaileei diru publiko preziatuak eman zitzaizkien. Proiektuan ahultasunen bat aurkitu bazen, baita aplikazioaren geldialdi minutu bakoitzeko edo oker funtzionatzeko ere, baliogabetu egiten ziren. Gure robotek gertutik kontrolatzen zuten hori: arazoren bat aurkitzen bazuten, bitaps taldeari jakinarazi genion, arazoa konpontzeko aukera emanez. Ezabatzen ez bazen, galerak ekarri zituen. Dena da bizitzan bezala!
Lehiaketaren lehen egunean, erasotzaileek zerbitzua probatu zuten. Egunaren amaieran, aplikazioan ahultasun txikien txosten batzuk baino ez genituen jaso, bitaps-eko mutilek berehala konpondu zituztenak. Gaueko 23:XNUMXak aldera, parte hartzaileak aspertzear zeudenean, softwarea hobetzeko proposamena jaso ziguten. Zeregin ez zen erraza izan. Aplikazioan eskuragarri dagoen ordainketa-prozesamenduan oinarrituta, esteka baten bidez bi zorroen artean tokenak transferitzeko aukera emango zuen zerbitzu bat ezartzea beharrezkoa zen. Ordainketaren bidaltzaileak -zerbitzuaren erabiltzaileak- orrialde berezi batean sartu beharko du zenbatekoa eta transferentzia horren pasahitza adierazi. Sistemak hartzaileari bidaltzen zaion esteka esklusibo bat sortu behar du. Hartzaileak esteka irekitzen du, transferentziarako pasahitza sartzen du eta diru-zorroa adierazten du zenbatekoa jasotzeko.
Eginkizuna jasota, mutilak animatu ziren, eta goizeko 4etarako prest zegoen esteka bidez tokenak transferitzeko zerbitzua. Erasotzaileek ez gintuzten zain egon eta ordu gutxiren buruan XSS ahultasun txiki bat aurkitu zuten sortutako zerbitzuan eta jakinarazi ziguten. Bere erabilgarritasuna egiaztatu eta baieztatu dugu. Garapen taldeak ondo konpondu du.
Bigarren egunean, hacker-ek hiri birtualeko bulegoen segmentuan jarri zuten arreta, beraz, ez zen aplikazioaren aurkako eraso gehiagorik izan, eta garatzaileek azkenean lorik gabeko gau batetik atseden hartu zuten.
Bi eguneko lehiaketaren amaieran, bitaps proiektuari sari gogoangarriak eman genizkion.
Partidaren ostean parte-hartzaileek onartu zutenez, hackatonak aplikazioaren indarra probatzeko eta segurtasun maila altua berresteko aukera eman zien. "Hackaton batean parte hartzea aukera bikaina da zure proiektua segurtasuna probatzeko eta kodearen kalitatean esperientzia lortzeko. Pozik gaude: erasotzaileen erasoari aurre egitea lortu dugu, - bere inpresioak partekatu zituen Alexey Karpov bitaps garapen taldeko kidea. - Ezohiko esperientzia izan zen, estres egoera batean aplikazioa findu behar izan genuenez, abiaduragatik. Kalitate handiko kodea idatzi behar duzu, eta, aldi berean, akatsak egiteko arrisku handia dago. Baldintza horietan zure trebetasun guztiak erabiltzen hasten zaraΒ»..
Datorren urtean berriro hackaton bat egiteko asmoa dugu. Jarraitu albistea!
Iturria: www.habr.com