PHDays 9 でサイバー戦闘の一環として初めて 開発者向けのハッカソンが開催されました。 防御側と攻撃側が都市の制圧をめぐって XNUMX 日間戦いましたが、開発者は事前に作成および展開されたアプリケーションを更新し、集中攻撃に直面してもスムーズに動作することを確認する必要がありました。 その結果がどうなったかをお話しします。
ハッカソンへの参加は、作者によって提出された非営利プロジェクトのみが認められました。 XNUMX つのプロジェクトから応募がありましたが、選ばれたのは XNUMX つだけです - bitaps ()。 チームは、ビットコイン、イーサリアム、その他の代替暗号通貨のブロックチェーンを分析し、支払いを処理し、暗号通貨ウォレットを開発します。
コンテスト開始の数日前に、参加者はゲーム インフラストラクチャへのリモート アクセスを取得し、アプリケーションをインストールしました (アプリケーションは保護されていないセグメントでホストされていました)。 The Standoff では、攻撃者は仮想都市のインフラストラクチャに加えて、アプリケーションを攻撃し、見つかった脆弱性に関するバグ報奨金レポートを作成する必要がありました。 主催者がエラーの存在を確認した後、開発者は希望に応じて修正することができます。 確認されたすべての脆弱性に対して、攻撃チームは公の場で報酬 (The Standoff のゲーム通貨) を受け取り、開発チームには罰金が科されました。
また、コンテストの規約によれば、主催者はアプリケーションを改善するためのタスクを参加者に設定することができました。サービスのセキュリティに影響を与えるミスをせずに新しい機能を実装することが重要でした。 アプリケーションが正しく動作し、改善が実行されるたびに、開発者には貴重な公的資金が与えられました。 プロジェクト内で脆弱性が見つかった場合、およびアプリケーションのダウンタイムや誤った操作が XNUMX 分ごとに発生した場合、それらは帳消しになりました。 これは当社のロボットによって注意深く監視されており、ロボットが問題を発見した場合は、bitaps チームに報告し、問題を解決する機会を与えました。 それが排除されなかった場合、損失につながりました。 すべてが人生と同じです!
コンテストの初日、攻撃者はサービスをテストしました。 その日の終わりまでに、アプリケーションの軽微な脆弱性に関する報告を数件受け取るだけで、bitaps の担当者がすぐに修正してくれました。 参加者が飽き始めた午後23時頃、私たちからソフトウェアの改善提案が届きました。 その仕事は簡単ではありませんでした。 アプリケーションで利用可能な支払い処理に基づいて、リンクを使用して XNUMX つのウォレット間でトークンを転送できるサービスを実装する必要がありました。 支払いの送信者、つまりサービスのユーザーは、特別なページに金額を入力し、この送金のパスワードを指定する必要があります。 システムは、受取人に送信される一意のリンクを生成する必要があります。 受信者はリンクを開き、送金用のパスワードを入力し、金額を受け取るようにウォレットに指示します。
タスクを受け取った彼らは元気を取り戻し、午前4時までにリンク経由でトークンを転送するサービスの準備が整いました。 攻撃者は私たちを待たせることなく、数時間以内に、作成されたサービスに軽度の XSS 脆弱性を発見し、私たちに報告しました。 利用可能であることを確認しました。 開発チームは問題を修正することに成功しました。
XNUMX 日目、ハッカーたちは仮想都市のオフィス部分に注意を集中したため、アプリケーションへの攻撃はなくなり、開発者たちはようやく眠れぬ夜から休むことができました。
XNUMX 日間のコンテストの終わりに、bitaps プロジェクトに記念すべき賞を授与しました。
ゲーム後に参加者が認めたように、ハッカソンではアプリケーションの強度をテストし、その高いセキュリティレベルを確認することができました。 「ハッカソンへの参加は、プロジェクトのセキュリティをテストし、コード品質に関する専門知識を得る素晴らしい機会です。 私たちはよかったです。攻撃者の猛攻撃になんとか抵抗できました。 — 感想を語った bitaps開発チームのメンバー、Alexey Karpov。 - ストレスの多い状況でスピードを追求してアプリケーションを改良する必要があったので、これは珍しい経験でした。 高品質のコードを記述する必要がありますが、同時に間違いを犯すリスクも高くなります。 そのような状況では、自分のすべてのスキルを使い始めます。」.
来年もハッカソンを開催する予定です。 ニュースをフォローしてください!
出所: habr.com