Ինչպես անցավ The Standoff-ում առաջին հաքաթոնը

PHDays 9-ում առաջին անգամ որպես կիբեր ճակատամարտի մաս The Standoff Տեղի է ունեցել հաքաթոն ծրագրավորողների համար։ Մինչ պաշտպաններն ու հարձակվողները երկու օր պայքարում էին քաղաքի վերահսկողության համար, մշակողները պետք է թարմացնեին նախապես գրված և տեղակայված հավելվածները և ապահովեին, որ դրանք սահուն աշխատեին հարձակումների տարափի դեպքում: Մենք ձեզ կասենք, թե ինչ ստացվեց դրանից:

Հեքըթոնին մասնակցելու համար ընդունվել են միայն դրանց հեղինակների կողմից ներկայացված ոչ կոմերցիոն նախագծերը։ Մենք դիմումներ ենք ստացել չորս նախագծերից, բայց ընտրվել է միայն մեկը՝ bitaps (bitaps.com) Թիմը վերլուծում է Bitcoin-ի, Ethereum-ի և այլ այլընտրանքային կրիպտոարժույթների բլոկչեյնը, մշակում է վճարումները և մշակում կրիպտոարժույթի դրամապանակ:

Մրցույթի մեկնարկից մի քանի օր առաջ մասնակիցները ստացան հեռահար մուտք դեպի խաղային ենթակառուցվածք՝ իրենց հավելվածը տեղադրելու համար (այն հյուրընկալվել էր անպաշտպան հատվածում): The Standoff-ում հարձակվողները, ի լրումն վիրտուալ քաղաքի ենթակառուցվածքի, ստիպված էին հարձակվել հավելվածի վրա և հայտնաբերված խոցելիության վերաբերյալ սխալների մասին հաշվետվություններ գրել: Այն բանից հետո, երբ կազմակերպիչները հաստատեցին սխալների առկայությունը, ծրագրավորողները ցանկության դեպքում կարող էին ուղղել դրանք: Բոլոր հաստատված խոցելիության համար հարձակվող թիմը հրապարակային պարգև ստացավ (The Standoff-ի խաղի արժույթը), և մշակող թիմը տուգանվեց:

Նաև, մրցույթի պայմանների համաձայն, կազմակերպիչները կարող էին մասնակիցներին առաջադրանքներ դնել հավելվածը բարելավելու համար. կարևոր էր նոր գործառույթների ներդրումն առանց սխալներ թույլ տալու, որոնք կազդեին ծառայության անվտանգության վրա: Հավելվածի ճիշտ աշխատանքի յուրաքանչյուր րոպեի և բարելավումների իրականացման համար մշակողները արժանացել են թանկարժեք հանրային միջոցների։ Եթե ​​նախագծում հայտնաբերվել է խոցելիություն, ինչպես նաև հավելվածի ամեն րոպե անգործության կամ ոչ ճիշտ աշխատանքի համար, դրանք դուրս են գրվել։ Սա ուշադիր վերահսկվում էր մեր ռոբոտների կողմից. եթե նրանք խնդիր հայտնաբերեցին, մենք դրա մասին հայտնում էինք bitaps թիմին՝ հնարավորություն տալով շտկել խնդիրը: Եթե ​​չվերացվեց, դա հանգեցրեց կորուստների։ Ամեն ինչ այնպես է, ինչպես կյանքում:

Մրցումների առաջին օրը հարձակվողները փորձարկել են ծառայությունը։ Օրվա վերջում մենք ստացանք միայն մի քանի հաղորդում հավելվածում աննշան խոցելիության մասին, որոնք բիթապների տղաները արագ շտկեցին։ Ժամը 23-ի սահմաններում, երբ մասնակիցները ձանձրանում էին, մեզանից ստացան ծրագրային ապահովման բարելավման առաջարկ։ Առաջադրանքը հեշտ չէր. Հավելվածում առկա վճարումների մշակման հիման վրա անհրաժեշտ էր իրականացնել մի ծառայություն, որը թույլ կտար երկու դրամապանակների միջև խորհրդանիշներ փոխանցել՝ օգտագործելով հղումը: Վճարումն ուղարկողը` ծառայության օգտատերը, պետք է մուտքագրի գումարը հատուկ էջում և նշի այս փոխանցման գաղտնաբառը: Համակարգը պետք է ստեղծի եզակի հղում, որն ուղարկվում է վճարողին: Ստացողը բացում է հղումը, մուտքագրում է փոխանցման գաղտնաբառը և նշում է իր դրամապանակը՝ գումարը ստանալու համար:

Առաջադրանքը ստանալուց հետո տղաները ոտքի կանգնեցին, և առավոտյան ժամը 4-ին հղման միջոցով նշաններ փոխանցելու ծառայությունը պատրաստ էր: Հարձակվողները մեզ սպասեցնել չտվեցին և մի քանի ժամվա ընթացքում հայտնաբերեցին ստեղծած ծառայության աննշան XSS խոցելիություն և հայտնեցին մեզ: Մենք ստուգեցինք և հաստատեցինք դրա առկայությունը։ Մշակող թիմը հաջողությամբ ուղղեց այն:

Երկրորդ օրը հաքերներն իրենց ուշադրությունը կենտրոնացրել են վիրտուալ քաղաքի գրասենյակային հատվածի վրա, ուստի հավելվածի վրա այլևս հարձակումներ չեն եղել, և մշակողները վերջապես կարողացել են հանգստանալ անքուն գիշերից։

Երկօրյա մրցույթի ավարտին մենք bitaps նախագծին հանձնեցինք հիշարժան մրցանակներ։
Ինչպես խաղից հետո խոստովանել են մասնակիցները, հաքաթոնը նրանց թույլ է տվել փորձարկել հավելվածի ուժը և հաստատել դրա անվտանգության բարձր մակարդակը։ «Հեքըթոնին մասնակցելը հիանալի հնարավորություն է՝ փորձարկելու ձեր նախագիծը անվտանգության համար և ձեռք բերելու կոդերի որակի փորձաքննություն: Մենք ուրախ ենք. մեզ հաջողվեց դիմակայել հարձակվողների գրոհին, - կիսվել է իր տպավորություններով bitaps-ի զարգացման թիմի անդամ Ալեքսեյ Կարպով: - Դա անսովոր փորձ էր, քանի որ մենք ստիպված էինք կատարելագործել հավելվածը սթրեսային իրավիճակում, արագության համար: Դուք պետք է գրեք բարձրորակ կոդ, և միևնույն ժամանակ մեծ է սխալվելու վտանգը։ Նման պայմաններում սկսում ես օգտագործել քո բոլոր հմտությունները»։.

Հաջորդ տարի պլանավորում ենք կրկին հեքըթոն անցկացնել։ Հետևե՛ք նորություններին։

Source: www.habr.com