Op PHDays 9 foar it earst as ûnderdiel fan in cyberslach In hackathon foar ûntwikkelders fûn plak. Wylst ferdigeners en oanfallers twa dagen stride foar kontrôle fan 'e stêd, moasten ûntwikkelders foarôfskreaune en ynset applikaasjes bywurkje en soargje dat se soepel rûnen yn it gesicht fan in barrage fan oanfallen. Wy sille jo fertelle wat der fan kaam is.
Allinich net-kommersjele projekten yntsjinne troch har auteurs waarden akseptearre om diel te nimmen oan 'e hackathon. Wy krigen oanfragen fan fjouwer projekten, mar mar ien waard selektearre - bitaps (). It team analysearret de blockchain fan Bitcoin, Ethereum en oare alternative cryptocurrencies, ferwurket betellingen en ûntwikkelet in cryptocurrency wallet.
In pear dagen foar it begjin fan 'e konkurrinsje krigen dielnimmers tagong op ôfstân ta de gaming-ynfrastruktuer om har applikaasje te ynstallearjen (it waard host yn in net beskerme segmint). By The Standoff moasten oanfallers, neist de ynfrastruktuer fan 'e firtuele stêd, de applikaasje oanfalle en bug-bounty-rapporten skriuwe oer de fûnen kwetsberens. Neidat de organisatoaren de oanwêzigens fan flaters befêstige, koene de ûntwikkelders se korrigearje as se wolle. Foar alle befêstige kwetsberens krige it oanfallende team in beleanning yn it iepenbier (de spielfaluta fan The Standoff), en it ûntwikkelteam waard beboete.
Ek, neffens de betingsten fan 'e kompetysje, koene de organisatoaren dielnimmers taken ynstelle om de applikaasje te ferbetterjen: it wie wichtich om nije funksjonaliteit út te fieren sûnder flaters te meitsjen dy't de feiligens fan' e tsjinst beynfloedzje. Foar elke minút fan juste wurking fan 'e applikaasje en foar de ymplemintaasje fan ferbetterings waarden de ûntwikkelders kostbere publike fûnsen takend. As der in kwetsberens waard fûn yn it projekt, en ek foar elke minút fan downtime of ferkearde wurking fan 'e applikaasje, waarden se ôfskreaun. Dit waard nau kontrolearre troch ús robots: as se in probleem fûnen, rapporteare wy it oan it bitaps-team, wêrtroch't se in kâns jaan om it probleem op te lossen. As it net útskeakele waard, late it ta ferliezen. Alles is krekt as yn it libben!
Op 'e earste dei fan' e kompetysje testen de oanfallers de tsjinst. Oan 'e ein fan' e dei krigen wy mar in pear rapporten fan lytse kwetsberens yn 'e applikaasje, dy't de jonges fan bitaps prompt repareare. Om 23 oere hinne, doe't de dielnimmers op it punt stiene te ferfelen, krigen se in foarstel fan ús om de software te ferbetterjen. De taak wie net maklik. Op grûn fan 'e betellingsferwurking beskikber yn' e applikaasje, wie it nedich om in tsjinst út te fieren dy't it mooglik meitsje om tokens tusken twa slúven te ferpleatsen mei in keppeling. De stjoerder fan 'e betelling - de brûker fan' e tsjinst - moat it bedrach op in spesjale side ynfiere en it wachtwurd foar dizze oerdracht oanjaan. It systeem moat in unike keppeling generearje dy't wurdt stjoerd nei de beteler. De ûntfanger iepenet de keppeling, fiert it wachtwurd foar de oerdracht en jout syn beurs oan om it bedrach te ûntfangen.
Nei it ûntfangen fan de taak, kamen de jonges op, en moarns om 4 oere wie de tsjinst foar it oerbringen fan tokens fia de keppeling klear. De oanfallers lieten ús net wachtsje en binnen in pear oeren ûntdutsen in lytse XSS-kwetsberens yn 'e oanmakke tsjinst en rapporteare it oan ús. Wy hawwe de beskikberens kontrolearre en befêstige. It ûntwikkelteam hat it mei súkses reparearre.
Op de twadde dei konsintrearren de hackers har oandacht op it kantoarsegment fan 'e firtuele stêd, sadat d'r gjin oanfallen mear wiene op' e applikaasje, en de ûntwikkelders koene úteinlik rêste fan in sliepleaze nacht.
Oan 'e ein fan' e twa-dagen kompetysje, wy takend de bitaps projekt memorabele prizen.
Sa't de dielnimmers nei it spultsje talitten, liet de hackathon har de sterkte fan 'e applikaasje testen en har hege feiligensnivo befêstigje. "Dielname oan in hackathon is in geweldige kâns om jo projekt te testen foar feiligens en ekspertize te krijen yn koadekwaliteit. Wy binne bliid: it slagge ús om de oanfal fan 'e oanfallers te wjerstean, - dielde syn yndrukken lid fan it bitapsûntwikkelingsteam Alexey Karpov. - It wie in ûngewoane ûnderfining, om't wy de applikaasje moatte ferfine yn in stressfolle situaasje, foar snelheid. Jo moatte koade fan hege kwaliteit skriuwe, en tagelyk is d'r in heech risiko om flaters te meitsjen. Yn sokke omstannichheden begjinne jo al jo feardichheden te brûken.".
Wy binne fan plan takom jier wer in hackathon te hâlden. Folgje it nijs!
Boarne: www.habr.com