Di PHDays 9 untuk pertama kalinya sebagai bagian dari pertempuran dunia maya Hackathon untuk pengembang telah berlangsung. Sementara para pembela dan penyerang berjuang selama dua hari untuk menguasai kota, para pengembang harus memperbarui aplikasi yang telah ditulis sebelumnya dan diterapkan serta memastikan aplikasi tersebut berjalan dengan lancar dalam menghadapi rentetan serangan. Kami akan memberi tahu Anda apa hasilnya.
Hanya proyek non-komersial yang dikirimkan oleh penulisnya yang diterima untuk berpartisipasi dalam hackathon. Kami menerima lamaran dari empat proyek, tetapi hanya satu yang dipilih - bitaps (). Tim menganalisis blockchain Bitcoin, Ethereum, dan mata uang kripto alternatif lainnya, memproses pembayaran, dan mengembangkan dompet mata uang kripto.
Beberapa hari sebelum kompetisi dimulai, peserta menerima akses jarak jauh ke infrastruktur game untuk menginstal aplikasi mereka (dihosting di segmen yang tidak terlindungi). Di The Standoff, penyerang, selain infrastruktur kota virtual, harus menyerang aplikasi dan menulis laporan bug bounty tentang kerentanan yang ditemukan. Setelah penyelenggara mengkonfirmasi adanya kesalahan, pengembang dapat memperbaikinya jika diinginkan. Untuk semua kerentanan yang dikonfirmasi, tim penyerang menerima hadiah di depan umum (mata uang game The Standoff), dan tim pengembangan didenda.
Selain itu, sesuai dengan ketentuan kompetisi, penyelenggara dapat menetapkan tugas kepada peserta untuk meningkatkan aplikasi: penting untuk mengimplementasikan fungsionalitas baru tanpa membuat kesalahan yang akan memengaruhi keamanan layanan. Untuk setiap menit pengoperasian aplikasi yang benar dan untuk implementasi perbaikan, para pengembang dianugerahi dana publik yang berharga. Jika kerentanan ditemukan dalam proyek, serta untuk setiap menit waktu henti atau pengoperasian aplikasi yang salah, kerentanan tersebut akan dihapuskan. Hal ini dipantau secara ketat oleh robot kami: jika mereka menemukan masalah, kami melaporkannya ke tim bitaps, sehingga memberi mereka kesempatan untuk memperbaiki masalah tersebut. Jika tidak dihilangkan justru menimbulkan kerugian. Semuanya seperti dalam hidup!
Pada hari pertama kompetisi, para penyerang menguji layanan tersebut. Pada akhirnya, kami hanya menerima beberapa laporan tentang kerentanan kecil dalam aplikasi, yang segera diperbaiki oleh orang-orang dari bitaps. Sekitar jam 23 malam, ketika para peserta sudah mulai bosan, mereka menerima usulan dari kami untuk memperbaiki perangkat lunak tersebut. Tugas itu tidak mudah. Berdasarkan pemrosesan pembayaran yang tersedia dalam aplikasi, perlu diterapkan layanan yang memungkinkan transfer token antara dua dompet menggunakan tautan. Pengirim pembayaran - pengguna layanan - harus memasukkan jumlah pada halaman khusus dan menunjukkan kata sandi untuk transfer ini. Sistem harus menghasilkan tautan unik yang dikirimkan ke penerima pembayaran. Penerima membuka tautan, memasukkan kata sandi untuk transfer dan menunjukkan dompetnya untuk menerima jumlah tersebut.
Setelah mendapat tugas, teman-teman menjadi bersemangat, dan pada jam 4 pagi layanan transfer token melalui link sudah siap. Para penyerang tidak membuat kami menunggu dan dalam beberapa jam menemukan kerentanan XSS kecil di layanan yang dibuat dan melaporkannya kepada kami. Kami memeriksa dan mengkonfirmasi ketersediaannya. Tim pengembangan berhasil memperbaikinya.
Di hari kedua, para peretas memusatkan perhatiannya pada segmen perkantoran di kota virtual, sehingga tidak ada lagi serangan terhadap aplikasi, dan para pengembang akhirnya bisa beristirahat dari malam tanpa tidur.
Di akhir kompetisi dua hari, kami memberikan hadiah yang mengesankan kepada proyek bitaps.
Seperti yang diakui para peserta setelah pertandingan, hackathon memungkinkan mereka menguji kekuatan aplikasi dan memastikan tingkat keamanannya yang tinggi. “Partisipasi dalam hackathon adalah peluang besar untuk menguji keamanan proyek Anda dan mendapatkan keahlian dalam kualitas kode. Kami senang: kami berhasil menahan serangan gencar para penyerang, — membagikan kesannya anggota tim pengembangan bitaps Alexei Karpov. - Itu adalah pengalaman yang tidak biasa, karena kami harus menyempurnakan aplikasi dalam situasi penuh tekanan, demi kecepatan. Anda perlu menulis kode berkualitas tinggi, dan pada saat yang sama ada risiko tinggi membuat kesalahan. Dalam kondisi seperti itu Anda mulai menggunakan semua keahlian Anda.".
Kami berencana mengadakan hackathon lagi tahun depan. Ikuti beritanya!
Sumber: www.habr.com