Á PHDays 9 í fyrsta skipti sem hluti af netbardaga Hakkaþon fyrir forritara fór fram. Á meðan verjendur og árásarmenn börðust í tvo daga um að stjórna borginni, þurftu verktaki að uppfæra fyrirfram skrifuð og innleidd forrit og tryggja að þau gengi snurðulaust frammi fyrir bylgju árása. Við munum segja þér hvað kom út úr því.
Einungis verkefni sem ekki voru viðskiptaleg send inn af höfundum þeirra voru samþykkt til að taka þátt í hackathoninu. Við fengum umsóknir frá fjórum verkefnum, en aðeins eitt var valið - bitaps (). Teymið greinir blockchain Bitcoin, Ethereum og annarra annarra dulritunargjaldmiðla, vinnur úr greiðslum og þróar dulritunarveski.
Nokkrum dögum áður en keppnin hófst fengu þátttakendur fjaraðgang að leikjainnviðum til að setja upp forritið sitt (það var hýst í óvarnum hluta). Í The Standoff þurftu árásarmenn, auk innviða sýndarborgarinnar, að ráðast á forritið og skrifa villufjármagnsskýrslur um veikleikana sem fundust. Eftir að skipuleggjendur staðfestu að villur væru til staðar gátu verktaki leiðrétt þær ef þeir vildu. Fyrir alla staðfesta veikleika fékk árásarliðið verðlaun á almannafæri (leikjagjaldmiðill The Standoff) og þróunarteymið var sektað.
Einnig, samkvæmt skilmálum keppninnar, gátu skipuleggjendur sett þátttakendum verkefni til að bæta forritið: það var mikilvægt að innleiða nýja virkni án þess að gera mistök sem hefðu áhrif á öryggi þjónustunnar. Fyrir hverja mínútu af réttri notkun forritsins og fyrir innleiðingu endurbóta fengu hönnuðir dýrmæta opinbera fjármuni. Ef varnarleysi fannst í verkefninu, sem og fyrir hverja mínútu af stöðvun eða rangri notkun forritsins, voru þau afskrifuð. Vélmenni okkar fylgdust náið með þessu: ef þeir fundu vandamál tilkynntum við það til bitaps teymisins, sem gaf þeim tækifæri til að laga vandamálið. Ef það var ekki útrýmt leiddi það til taps. Allt er eins og í lífinu!
Á fyrsta keppnisdegi prófuðu árásarmennirnir þjónustuna. Í lok dagsins fengum við aðeins nokkrar tilkynningar um minniháttar veikleika í forritinu, sem strákarnir frá bitaps lagfærðu tafarlaust. Um 23:XNUMX þegar þátttakendum var farið að leiðast fengu þeir tillögu frá okkur um að bæta hugbúnaðinn. Verkefnið var ekki auðvelt. Miðað við þá greiðsluvinnslu sem er tiltæk í forritinu var nauðsynlegt að innleiða þjónustu sem gerði kleift að flytja tákn á milli tveggja veski með hlekk. Sendandi greiðslu - notandi þjónustunnar - verður að slá inn upphæðina á sérstakri síðu og tilgreina lykilorð fyrir þessa millifærslu. Kerfið verður að búa til einstakan hlekk sem er sendur til viðtakanda greiðslu. Viðtakandinn opnar hlekkinn, slær inn lykilorð fyrir millifærsluna og gefur til kynna veskið sitt til að fá upphæðina.
Eftir að hafa fengið verkefnið hresstust krakkarnir við og klukkan 4 um morguninn var þjónustan til að flytja tákn í gegnum hlekkinn tilbúin. Árásarmennirnir létu okkur ekki bíða og uppgötvuðu innan nokkurra klukkustunda minniháttar XSS-veikleika í tilbúinni þjónustu og tilkynntu okkur það. Við athuguðum og staðfestum framboð þess. Þróunarteymið lagaði það með góðum árangri.
Á öðrum degi einbeittu tölvuþrjótarnir athygli sinni að skrifstofuhluta sýndarborgarinnar, þannig að ekki voru fleiri árásir á forritið og verktaki gátu loksins hvílt sig frá svefnlausri nótt.
Í lok tveggja daga keppninnar veittum við bitaverkefninu eftirminnileg verðlaun.
Eins og þátttakendur viðurkenndu eftir leikinn leyfði hackathon þeim að prófa styrkleika forritsins og staðfesta hátt öryggisstig þess. „Þátttaka í hackathon er frábært tækifæri til að prófa verkefnið þitt fyrir öryggi og öðlast sérfræðiþekkingu á gæðum kóða. Við erum ánægð: okkur tókst að standast árás árásarmannanna, - deildi hughrifum sínum meðlimur bitaps þróunarteymisins Alexey Karpov. - Þetta var óvenjuleg reynsla, þar sem við þurftum að betrumbæta umsóknina í streituvaldandi aðstæðum, fyrir hraðann. Þú þarft að skrifa hágæða kóða og á sama tíma er mikil hætta á mistökum. Við slíkar aðstæður byrjar þú að nota alla kunnáttu þína.“.
Við ætlum að halda hackathon aftur á næsta ári. Fylgstu með fréttum!
Heimild: www.habr.com