PHDays 9да биринчи жолу кибер согуштун бөлүгү катары Иштеп чыгуучулар үчүн хакатон өттү. Коргоочулар менен чабуулчулар шаарды башкаруу үчүн эки күн күрөшүп жатышканда, иштеп чыгуучулар алдын ала жазылган жана орнотулган тиркемелерди жаңыртып, чабуулдардын тынымсыз иштешин камсыз кылышы керек болчу. Андан эмне болгонун айтып беребиз.
Хакатонго катышууга алардын авторлору тарабынан берилген коммерциялык эмес долбоорлор гана кабыл алынган. Биз төрт долбоордон арыз алдык, бирок бирөө гана тандалды - bitaps (). Команда Bitcoin, Ethereum жана башка альтернативалуу криптовалюталардын блокчейндерин талдап, төлөмдөрдү иштеп чыгат жана криптовалюталык капчыкты иштеп чыгат.
Сынактын башталышына бир нече күн калганда катышуучулар өздөрүнүн тиркемесин орнотуу үчүн оюн инфраструктурасына аралыктан кирүү мүмкүнчүлүгүн алышты (ал корголбогон сегментте жайгаштырылган). The Standoff'та чабуулчулар виртуалдык шаардын инфраструктурасынан тышкары, тиркемеге чабуул жасап, табылган кемчиликтер боюнча каталар жөнүндө отчетторду жазышы керек болчу. Уюштуруучулар каталар бар экенин ырастагандан кийин, иштеп чыгуучулар кааласа, аларды оңдоп коюшу мүмкүн. Бардык тастыкталган алсыздыктар үчүн чабуулчу команда эл алдында сыйлыкка ээ болду (The Standoff оюнунун валютасы) жана иштеп чыгуу тобуна айып салынды.
Ошондой эле, сынактын шарттарына ылайык, уюштуруучулар катышуучуларга тиркемени жакшыртуу боюнча милдеттерди коюшу мүмкүн: кызматтын коопсуздугуна таасир эте турган каталарды кетирбестен жаңы функцияларды ишке ашыруу маанилүү болчу. Тиркеменин туура иштешинин ар бир мүнөтү жана жакшыртууларды ишке ашыруу үчүн иштеп чыгуучулар баалуу мамлекеттик каражаттар менен сыйланган. Эгерде долбоордо кемчилик табылса, ошондой эле ар бир мүнөт токтоп калуу же туура эмес иштеши үчүн, алар эсептен чыгарылды. Муну биздин роботтор тыкыр көзөмөлдөп турган: эгер алар көйгөй табышса, биз бул көйгөйдү чечүүгө мүмкүнчүлүк берип, bitaps командасына кабарладык. Эгерде жоюлбаса, жоготууларга алып келди. Жашоодо баары ушундай!
Мелдештин биринчи күнүндө чабуулчулар кызматты сынап көрүштү. Күндүн акырына карата биз тиркемедеги анча-мынча алсыздыктар жөнүндө бир нече гана билдирүүлөрдү алдык, аларды битаптын жигиттери тез арада оңдоп коюшкан. Саат 23:XNUMX чамасында катышуучулар тажаганда, алар бизден программалык камсыздоону жакшыртуу сунушун алышты. Тапшырма оңой болгон жок. Тиркемеде жеткиликтүү төлөмдү иштетүүнүн негизинде, шилтеме аркылуу эки капчыктын ортосунда токендерди өткөрүүгө мүмкүндүк берген кызматты ишке ашыруу зарыл болгон. Төлөмдү жөнөтүүчү - кызматты колдонуучу атайын баракчага сумманы киргизип, бул которуунун сырсөзүн көрсөтүшү керек. Система алуучуга жөнөтүлгөн уникалдуу шилтемени жаратышы керек. Алуучу шилтемени ачып, которуунун сырсөзүн киргизет жана сумманы алуу үчүн өзүнүн капчыгын көрсөтөт.
Тапшырма алгандан кийин, балдар сергек болуп, таңкы саат төрттө шилтеме аркылуу токендерди өткөрүү кызматы даяр болду. Чабуулчулар бизди күткөн жок жана бир нече сааттын ичинде түзүлгөн сервисте XSS кичинекей кемчилигин таап, бизге кабарлашты. Биз анын бар экенин текшерип, тастыктадык. Иштеп чыгуучу топ аны ийгиликтүү оңдоду.
Экинчи күнү хакерлер көңүлүн виртуалдык шаардын кеңсе сегментине топтошту, андыктан тиркемеге чабуулдар болгон жок жана иштеп чыгуучулар акыры уйкусуз түндөн эс алышты.
Эки күнгө созулган сынактын жыйынтыгында bitaps долбооруна эсте каларлык сыйлыктарды тапшырдык.
Катышуучулар оюндан кийин моюнга алышкандай, хакатон аларга тиркеменин күчүн сынап көрүүгө жана анын жогорку деңгээлдеги коопсуздук деңгээлин тастыктоого мүмкүндүк берди. «Хакатонго катышуу – бул сиздин долбоордун коопсуздугун сынап көрүү жана коддун сапаты боюнча тажрыйба алуу үчүн эң сонун мүмкүнчүлүк. Биз кубанычтабыз: кол салгандардын чабуулуна туруштук бере алдык, — деген таасирлери менен бөлүштү bitaps иштеп чыгуу тобунун мүчөсү Алексей Карпов. - Бул адаттан тыш тажрыйба болду, анткени биз тездик үчүн стресстик кырдаалда тиркемени такташыбыз керек болчу. Сиз жогорку сапаттагы кодду жазышыңыз керек, ошол эле учурда ката кетирүү коркунучу жогору. Мындай шартта сен бардык жөндөмүңдү колдоно баштайсың»..
Эмдиги жылы дагы хакатон өткөрүүнү пландап жатабыз. Жаңылыктарга көз салыңыз!
Source: www.habr.com