Op PHDays 9 fir d'éischte Kéier als Deel vun enger Cyber Schluecht En Hackathon fir Entwéckler huet stattfonnt. Wärend Verteideger an Ugräifer fir zwee Deeg fir d'Kontroll vun der Stad gekämpft hunn, hunn d'Entwéckler virgeschriwwe an ofgebauten Uwendungen missen aktualiséieren an dofir suergen datt se glat an der Gesiicht vun enger Barrage vun Attacken lafen. Mir soen Iech, wat dovunner komm ass.
Nëmmen net-kommerziell Projeten, déi vun hiren Auteure proposéiert goufen, goufen ugeholl fir um Hackathon deelzehuelen. Mir kruten Uwendunge vu véier Projeten, awer nëmmen ee gouf ausgewielt - bitaps (). D'Team analyséiert d'Blockchain vu Bitcoin, Ethereum an aner alternativ Krypto-Währungen, veraarbecht Bezuelungen an entwéckelt e Krypto-Währung Portemonnaie.
E puer Deeg virum Start vum Concours kruten d'Participanten Remote Zougang zu der Spillinfrastruktur fir hir Applikatioun z'installéieren (et gouf an engem ongeschützte Segment gehost). Um The Standoff hunn Ugräifer, nieft der Infrastruktur vun der virtueller Stad, d'Applikatioun missen attackéieren a Bugs Bounty Berichter iwwer d'Fondatioune schreiwen. Nodeems d'Organisateuren d'Präsenz vu Feeler bestätegt hunn, konnten d'Entwéckler se korrigéiere wa se wëllen. Fir all bestätegt Schwachstelle krut d'Attacketeam eng Belounung an der Ëffentlechkeet (d'Spillwährung vum The Standoff), an d'Entwécklungsteam gouf bestrooft.
Och, no de Conditioune vum Concours, konnten d'Organisateuren de Participanten Aufgaben setzen fir d'Applikatioun ze verbesseren: et war wichteg nei Funktionalitéit ëmzesetzen ouni Feeler ze maachen, déi d'Sécherheet vum Service beaflossen. Fir all Minutt vun der korrekter Operatioun vun der Applikatioun a fir d'Ëmsetzung vun Verbesserungen, goufen d'Entwéckler wäertvoll ëffentlech Fongen ausgezeechent. Wann eng Schwachstelle am Projet fonnt gouf, wéi och fir all Minutt vun Ënnerbriechungen oder falsch Operatioun vun der Applikatioun, goufen se ofgeschriwwe. Dëst gouf vun eise Roboteren enk iwwerwaacht: wa se e Problem fonnt hunn, hu mir et dem Bitaps Team gemellt, wat hinnen d'Chance huet de Problem ze fixéieren. Wann et net eliminéiert gouf, huet et zu Verloschter gefouert. Alles ass wéi am Liewen!
Um éischten Dag vum Concours hunn d'Ugräifer de Service getest. Um Enn vum Dag hu mir nëmmen e puer Berichter iwwer kleng Schwachstelle an der Applikatioun kritt, déi d'Jongen aus Bitaps prompt fixéiert hunn. Géint 23 Auer, wéi d'Participanten amgaangen ze langweilen ze ginn, krute si vun eis eng Propose fir d'Software ze verbesseren. D'Aufgab war net einfach. Baséierend op der Bezuelungsveraarbechtung, déi an der Applikatioun verfügbar ass, war et néideg e Service ëmzesetzen deen et erlaabt Tokens tëscht zwee Portemonnaie mat engem Link ze transferéieren. De Sender vun der Bezuelung - de Benotzer vum Service - muss de Betrag op enger spezieller Säit aginn an d'Passwuert fir dës Iwwerweisung uginn. De System muss en eenzegaartege Link generéieren deen un de Bezueler geschéckt gëtt. Den Empfänger mécht de Link op, gitt d'Passwuert fir den Transfer an weist säi Portemonnaie un fir de Betrag ze kréien.
Nodeems d'Aufgab kritt huet, hunn d'Kärelen opgereegt, a bis 4 Auer moies war de Service fir Tokens iwwer de Link ze transferéieren fäerdeg. D'Ugräifer hunn eis net gewaart an hunn innerhalb e puer Stonnen eng kleng XSS Schwachstelle am erstallten Service entdeckt an eis et gemellt. Mir hunn hir Disponibilitéit gepréift a bestätegt. D'Entwécklungsteam huet et erfollegräich fixéiert.
Um zweeten Dag hunn d'Hacker hir Opmierksamkeet op d'Büro-Segment vun der virtueller Stad konzentréiert, sou datt et keng Attacke méi op d'Applikatioun gouf, an d'Entwéckler endlech vun enger schlofloser Nuecht raschten.
Um Enn vun der zwee-Dag Concours, mir ausgezeechent bitaps Projet memorable Präisser.
Wéi d'Participanten nom Spill zouginn hunn, huet den Hackathon hinnen erlaabt d'Stäerkt vun der Applikatioun ze testen an hiren héije Sécherheetsniveau ze bestätegen. "D'Participatioun un engem Hackathon ass eng super Chance fir Äre Projet fir Sécherheet ze testen an Expertise an der Codequalitéit ze kréien. Mir si frou: mir hunn et fäerdeg bruecht den Ugrëff vun den Ugräifer ze widderstoen, - huet seng Impressiounen gedeelt Member vum Bitaps Entwécklungsteam Alexey Karpov. - Et war eng ongewéinlech Erfahrung, well mir hunn d'Applikatioun an enger stresseg Situatioun ze verfeineren, fir Geschwindegkeet. Dir musst qualitativ héichwäerteg Code schreiwen, a gläichzäiteg ass et e grousse Risiko fir Feeler ze maachen. An esou Konditiounen fänkt Dir un all Är Fäegkeeten ze benotzen.".
Mir plangen d'nächst Joer erëm en Hackathon ze maachen. Follegt d'Neiegkeeten!
Source: will.com