PHDays 9 pirmo reizi kā daļa no kiberkaujas Notika hakatons izstrādātājiem. Kamēr aizstāvji un uzbrucēji divas dienas cīnījās par pilsētas kontroli, izstrādātājiem bija jāatjaunina iepriekš uzrakstītas un izvietotas lietojumprogrammas un jānodrošina, lai tās darbotos nevainojami, saskaroties ar uzbrukumu straumi. Mēs jums pateiksim, kas no tā sanāca.
Dalībai hakatonā tika pieņemti tikai to autoru iesniegtie nekomerciālie projekti. Saņēmām pieteikumus no četriem projektiem, bet izvēlēts tika tikai viens - bitaps (). Komanda analizē Bitcoin, Ethereum un citu alternatīvu kriptovalūtu blokķēdi, apstrādā maksājumus un izstrādā kriptovalūtas maku.
Dažas dienas pirms sacensību sākuma dalībnieki saņēma attālinātu piekļuvi spēļu infrastruktūrai, lai instalētu savu aplikāciju (tā tika mitināta neaizsargātā segmentā). Vietnē The Standoff uzbrucējiem papildus virtuālās pilsētas infrastruktūrai bija jāuzbrūk lietojumprogrammai un jāraksta kļūdu ziņojumi par atrastajām ievainojamībām. Pēc tam, kad organizatori apstiprināja kļūdu esamību, izstrādātāji varēja tās labot, ja vēlas. Par visām apstiprinātajām ievainojamībām uzbrucēja komanda saņēma atlīdzību publiski (The Standoff spēles valūta), un izstrādes komanda tika sodīta.
Tāpat, saskaņā ar konkursa noteikumiem, organizatori varēja izvirzīt dalībniekiem uzdevumus aplikācijas uzlabošanai: svarīgi bija ieviest jaunu funkcionalitāti, nepieļaujot kļūdas, kas ietekmētu pakalpojuma drošību. Par katru aplikācijas pareizas darbības minūti un uzlabojumu ieviešanu izstrādātājiem tika piešķirti vērtīgi valsts līdzekļi. Ja projektā tika konstatēta ievainojamība, kā arī par katru dīkstāves minūti vai aplikācijas nepareizu darbību, tās tika norakstītas. Mūsu roboti to rūpīgi uzraudzīja: ja viņi atrada problēmu, mēs ziņojām par to bitaps komandai, dodot viņiem iespēju problēmu novērst. Ja tas netika likvidēts, tas noveda pie zaudējumiem. Viss ir kā dzīvē!
Pirmajā sacensību dienā uzbrucēji pārbaudīja servisu. Līdz dienas beigām saņēmām tikai dažus ziņojumus par nelielām lietojumprogrammas ievainojamībām, kuras bitaps ātri izlaboja. Ap pulksten 23, kad dalībnieki jau grasījās kļūt garlaicīgi, viņi no mums saņēma priekšlikumu uzlabot programmatūru. Uzdevums nebija viegls. Pamatojoties uz aplikācijā pieejamo maksājumu apstrādi, bija nepieciešams ieviest servisu, kas ļautu pārsūtīt žetonus starp diviem makiem, izmantojot saiti. Maksājuma sūtītājam - pakalpojuma lietotājam - īpašā lapā jāievada summa un jānorāda šī pārskaitījuma parole. Sistēmai ir jāģenerē unikāla saite, kas tiek nosūtīta maksājuma saņēmējam. Saņēmējs atver saiti, ievada pārskaitījuma paroli un norāda savu maku, lai saņemtu summu.
Saņēmuši uzdevumu, puiši atdzīvojās, un līdz pulksten 4 no rīta pakalpojums žetonu pārsūtīšanai caur saiti bija gatavs. Uzbrucēji nelika mums gaidīt un dažu stundu laikā atklāja nelielu XSS ievainojamību izveidotajā pakalpojumā un ziņoja par to mums. Mēs pārbaudījām un apstiprinājām tā pieejamību. Izstrādes komanda to veiksmīgi salaboja.
Otrajā dienā hakeri koncentrēja savu uzmanību uz virtuālās pilsētas biroju segmentu, tāpēc aplikācijai uzbrukumi vairs nenotika, un izstrādātāji beidzot varēja atpūsties no negulētās nakts.
Divu dienu konkursa noslēgumā bitaps projektam piešķīrām neaizmirstamas balvas.
Kā pēc spēles atzina dalībnieki, hakatons ļāva pārbaudīt aplikācijas spēku un apliecināt tās augsto drošības līmeni. “Piedalīšanās hakatonā ir lieliska iespēja pārbaudīt sava projekta drošību un iegūt zināšanas par koda kvalitāti. Esam priecīgi: mums izdevās pretoties uzbrucēju uzbrukumam, — dalījās iespaidos bitaps izstrādes komandas dalībnieks Aleksejs Karpovs. Sākot no Tā bija neparasta pieredze, jo nācās pilnveidot aplikāciju stresa situācijā, ātrumam. Jums ir jāraksta augstas kvalitātes kods, un tajā pašā laikā pastāv liels kļūdu risks. Šādos apstākļos jūs sākat izmantot visas savas prasmes.".
Nākamgad plānojam rīkot hakatonu vēlreiz. Sekojiet jaunumiem!
Avots: www.habr.com