Nan PHDays 9 pou premye fwa kòm yon pati nan yon batay cyber Yon Hackathon pou devlopè te fèt. Pandan ke defansè ak atakè yo te batay pou de jou pou kontwòl vil la, devlopè yo te oblije mete ajou aplikasyon ki te deja ekri ak deplwaye epi asire yo te kouri san pwoblèm nan fè fas a yon baraj nan atak. Nou pral di w kisa ki soti nan li.
Se sèlman pwojè ki pa komèsyal ki te soumèt pa otè yo te aksepte pou patisipe nan Hackathon la. Nou te resevwa aplikasyon nan kat pwojè, men se sèlman youn te chwazi - bitaps (). Ekip la analize blockchain Bitcoin, Ethereum ak lòt kriptografik altènatif, trete peman yo epi devlope yon bous kriptografik.
Kèk jou anvan kòmansman konpetisyon an, patisipan yo te resevwa aksè aleka nan enfrastrikti jwèt la pou enstale aplikasyon yo (li te anime nan yon segman san pwoteksyon). Nan The Standoff, atakè yo, anplis de enfrastrikti vil la vityèl, te oblije atake aplikasyon an epi ekri rapò bounty ensèk sou frajilite yo te jwenn. Apre òganizatè yo te konfime prezans erè, devlopè yo te kapab korije yo si yo vle. Pou tout vilnerabilite konfime, ekip atak la te resevwa yon rekonpans an piblik (lajan jwèt la nan The Standoff), epi ekip devlopman an te resevwa amann.
Epitou, dapre kondisyon ki nan konpetisyon an, òganizatè yo te kapab mete patisipan yo travay pou amelyore aplikasyon an: li te enpòtan pou aplike nouvo fonksyonalite san yo pa fè erè ki ta afekte sekirite sèvis la. Pou chak minit nan operasyon kòrèk nan aplikasyon an ak pou aplikasyon an nan amelyorasyon, devlopè yo te akòde lajan presye piblik. Si yo te jwenn yon vilnerabilite nan pwojè a, osi byen ke pou chak minit nan D 'oswa operasyon kòrèk nan aplikasyon an, yo te elimine. Sa a te byen kontwole pa robo nou yo: si yo te jwenn yon pwoblèm, nou rapòte l 'bay ekip la bitaps, ba yo yon chans yo ranje pwoblèm nan. Si li pa te elimine, li te mennen nan pèt. Tout bagay se tankou nan lavi!
Nan premye jou konpetisyon an, atakè yo te teste sèvis la. Nan fen jounen an, nou te resevwa sèlman kèk rapò sou vilnerabilite minè nan aplikasyon an, ki mesye ki soti nan bitaps san pèdi tan fikse. Anviwon 23 p.m., lè patisipan yo t ap vin raz, yo te resevwa yon pwopozisyon nan men nou pou amelyore lojisyèl an. Travay la pa t fasil. Ki baze sou pwosesis peman ki disponib nan aplikasyon an, li te nesesè yo aplike yon sèvis ki ta pèmèt yo transfere marqueur ant de bous lè l sèvi avèk yon lyen. Moun k ap voye peman an - itilizatè a nan sèvis la - dwe antre kantite lajan an sou yon paj espesyal epi endike modpas la pou transfè sa a. Sistèm nan dwe jenere yon lyen inik ki voye bay benefisyè a. Moun k ap resevwa a ouvri lyen an, antre modpas la pou transfè a epi li endike bous li pou resevwa kantite lajan an.
Lè mesye yo te resevwa travay la, yo te monte, epi nan 4 è nan maten sèvis pou transfere marqueur atravè lyen an te pare. Atakè yo pa t 'fè nou ap tann ak nan kèk èdtan dekouvri yon vilnerabilite minè XSS nan sèvis la kreye epi rapòte li ba nou. Nou tcheke ak konfime disponiblite li yo. Ekip devlopman an te byen ranje li.
Sou dezyèm jou a, entru yo konsantre atansyon yo sou segman biwo nan vil la vityèl, kidonk pa te gen plis atak sou aplikasyon an, ak devlopè yo te kapab finalman repoze nan yon nwit san dòmi.
Nan fen konpetisyon an de jou, nou bay pwojè bitaps pri memorab.
Kòm patisipan yo te admèt apre jwèt la, hackathon a pèmèt yo teste fòs aplikasyon an ak konfime nivo segondè li nan sekirite. "Patisipasyon nan yon Hackathon se yon gwo chans pou teste pwojè ou a pou sekirite ak jwenn ekspètiz nan bon jan kalite kòd. Nou kontan: nou jere reziste atak atakè yo, - pataje enpresyon li manm ekip devlopman bitaps Alexey Karpov. - Se te yon eksperyans etranj, depi nou te gen rafine aplikasyon an nan yon sitiyasyon estrès, pou vitès. Ou bezwen ekri bon kalite kòd, ak an menm tan gen yon gwo risk pou fè erè. Nan kondisyon sa yo ou kòmanse sèvi ak tout konpetans ou.".
Nou ap planifye pou fè yon Hackathon ankò ane pwochèn. Swiv nouvèl la!
Sous: www.habr.com