A PHDays 9-en először egy kibercsata részeként
A hackathonon csak a szerzőik által benyújtott, nem kereskedelmi projektek vehettek részt. Négy projekttől kaptunk pályázatot, de csak egyet választottak ki - bitapok (
Néhány nappal a verseny kezdete előtt a résztvevők távoli hozzáférést kaptak a játék infrastruktúrájához, hogy telepítsék alkalmazásukat (az egy nem védett szegmensben volt tárolva). A The Standoffnál a támadóknak a virtuális város infrastruktúrája mellett meg kellett támadniuk az alkalmazást, és hibajelentéseket kellett írniuk a talált sebezhetőségekről. Miután a szervezők megerősítették a hibákat, a fejlesztők kijavíthatták azokat, ha akarták. Minden megerősített sebezhetőségért a támadó csapat nyilvános jutalmat kapott (a The Standoff játék pénzneme), a fejlesztőcsapat pedig pénzbírságot kapott.
Szintén a pályázati feltételek szerint a szervezők feladatokat tűzhettek ki a résztvevőknek az alkalmazás finomítása érdekében: fontos volt, hogy a szolgáltatás biztonságát befolyásoló hibák nélkül új funkcionalitást valósítsanak meg. Az alkalmazás megfelelő működésének minden percéért és a fejlesztések megvalósításáért a fejlesztők értékes közpénzt kaptak. Ha a projektben sérülékenységet találtak, valamint az alkalmazás minden percnyi leállása vagy hibás működése esetén, azokat leírták. Ezt a robotjaink szorosan figyelemmel kísérték: ha hibát találtak, jeleztük a bitaps csapatnak, lehetőséget adva a probléma megoldására. Ha nem szüntették meg, az veszteségekhez vezetett. Minden olyan, mint az életben!
A verseny első napján a támadók tesztelték a szolgáltatást. A nap végére csak néhány bejelentés érkezett az alkalmazás kisebb sebezhetőségeiről, amelyeket a bitapos srácok azonnal kijavítottak. 23 óra körül, amikor a résztvevők unatkozni készültek, javaslatot kaptak tőlünk a szoftver fejlesztésére. A feladat nem volt könnyű. Az alkalmazásban elérhető fizetési feldolgozás alapján szükséges volt egy olyan szolgáltatás megvalósítása, amely lehetővé teszi a tokenek átvitelét két pénztárca között link segítségével. A fizetés feladójának - a szolgáltatás igénybe vevőjének - egy speciális oldalon kell megadnia az összeget, és meg kell adnia az átutalás jelszavát. A rendszernek létre kell hoznia egy egyedi hivatkozást, amelyet elküld a kedvezményezettnek. A címzett megnyitja a hivatkozást, beírja az utalás jelszavát, és pénztárcáját jelzi az összeg átvételéhez.
Miután megkapták a feladatot, a srácok felpörögtek, és hajnali 4 órára már készen is volt a linken keresztüli token átadási szolgáltatás. A támadók nem hagytak várakoztatni minket, és néhány órán belül egy kisebb XSS-sérülékenységet fedeztek fel a létrehozott szolgáltatásban, és jelentettek nekünk. Megnéztük és megerősítettük az elérhetőségét. A fejlesztőcsapat sikeresen kijavította.
A második napon a hackerek a virtuális város irodai szegmensére összpontosították figyelmüket, így nem érte több támadás az alkalmazást, a fejlesztők pedig végre kipihenhették az álmatlan éjszakát.
A kétnapos verseny végén a bitaps projektet emlékezetes díjakkal jutalmaztuk.
Ahogy a résztvevők a játék után elismerték, a hackathon lehetővé tette számukra, hogy teszteljék az alkalmazás erejét és megerősítsék annak magas szintű biztonságát. „A hackathonon való részvétel nagyszerű lehetőség arra, hogy tesztelje projektjét a biztonság szempontjából, és szakértelmet szerezzen a kódminőség terén. Örülünk: sikerült ellenállnunk a támadók rohamának, - osztotta meg benyomásait a bitaps fejlesztőcsapat tagja, Alexey Karpov. - Nem mindennapi élmény volt, hiszen stresszes helyzetben, a gyorsaság érdekében finomítani kellett az alkalmazáson. Jó minőségű kódot kell írnia, ugyanakkor nagy a hibák elkövetésének kockázata. Ilyen körülmények között elkezdi használni minden képességét.".
Jövőre ismét hackathont tervezünk. Kövesd a híreket!
Forrás: will.com