Ao amin'ny PHDays 9 sambany ao anatin'ny ady an-tserasera Nisy hackathon ho an'ny mpamorona. Raha niady nandritra ny roa andro ny mpiaro sy ny mpanafika mba hifehezana ny tanΓ na, dia tsy maintsy nanavao ny rindranasa efa voasoratra sy napetraka mialoha ny mpamorona ary miantoka fa nihazakazaka tsara izy ireo manoloana ny fanafihana marobe. Holazainay aminao ny nahatonga izany.
Tetikasa tsy ara-barotra natolotry ny mpanoratra azy ihany no nekena handray anjara amin'ny hackathon. Nahazo fangatahana avy amin'ny tetikasa efatra izahay, saingy iray ihany no voafidy - bitaps (). Ny ekipa dia manadihady ny sakana amin'ny Bitcoin, Ethereum ary ny vola virtoaly hafa, manodina ny fandoavam-bola ary mamolavola kitapom-bola crypto.
Andro vitsivitsy talohan'ny nanombohan'ny fifaninanana dia nahazo fidirana lavitra amin'ny fotodrafitrasa filalaovana ny mpandray anjara mba hametrahana ny fampiharana azy ireo (natao amin'ny fizarana tsy voaaro izany). Ao amin'ny The Standoff, ireo mpanafika, ankoatry ny fotodrafitrasa ao amin'ny tanΓ na virtoaly, dia tsy maintsy nanafika ny fampiharana ary nanoratra tatitra momba ny vulnerabilities hita. Taorian'ny nanamarinan'ny mpikarakara ny fisian'ny lesoka dia afaka manitsy azy ireo ny mpamorona raha tiany. Ho an'ny fahalemena rehetra voamarina, nahazo valisoa imasom-bahoaka ny ekipa mpanafika (ny volan'ny lalao The Standoff), ary nandoa lamandy ny ekipan'ny fampandrosoana.
Ary koa, araka ny fepetran'ny fifaninanana, ny mpikarakara dia afaka mametraka ny anjara asan'ny mpandray anjara hanatsarana ny fampiharana: zava-dehibe ny fampiharana ny fiasa vaovao tsy misy hadisoana izay mety hisy fiantraikany amin'ny fiarovana ny serivisy. Isaky ny minitra fampandehanana marina ny fampiharana sy ny fampiharana ny fanatsarana dia nomena volam-panjakana sarobidy ireo mpamorona. Raha toa ka misy vulnerable hita tao amin'ny tetikasa, ary koa isaky ny minitra fahatapahana na fampandehanana diso ny fampiharana, dia nesorina izy ireo. Nanara-maso akaiky izany ny robots-nay: raha nahita olana izy ireo, dia notaterinay tamin'ny ekipan'ny bitap izany, nanome azy ireo fahafahana hamaha ny olana. Raha tsy nesorina izany dia nitarika fatiantoka. Toy ny eo amin'ny fiainana ny zava-drehetra!
Tamin'ny andro voalohany amin'ny fifaninanana dia nanandrana ny serivisy ireo mpanafika. Tamin'ny fiafaran'ny andro dia tatitra vitsivitsy ihany no azonay momba ny fahalemena madinidinika ao amin'ny fampiharana, izay namboarin'ireo bandy avy amin'ny bitap avy hatrany. Tokony ho taminβny 23 ora antoandro, rehefa saika ho leo ireo mpandray anjara, dia nahazo tolo-kevitra avy amintsika izy ireo mba hanatsarana ny logiciel. Tsy mora ilay asa. Miorina amin'ny fanodinana fandoavam-bola misy ao amin'ny fampiharana, dia nilaina ny fampiharana serivisy izay ahafahana mamindra ny mari-pamantarana eo anelanelan'ny poketra roa amin'ny fampiasana rohy. Ny mpandefa ny fandoavam-bola - ny mpampiasa ny serivisy - dia tsy maintsy mampiditra ny vola amin'ny pejy manokana ary manondro ny tenimiafina amin'ity famindrana ity. Ny rafitra dia tsy maintsy mamorona rohy tokana izay alefa any amin'ny mpandoa vola. Ny mpandray dia manokatra ny rohy, miditra ny tenimiafina ho an'ny famindrana ary manondro ny poketrany handray ny vola.
Rehefa nahazo ny asa izy ireo dia nitombo ary tamin'ny 4 ora maraina dia efa vonona ny serivisy amin'ny famindrana mari-pankasitrahana amin'ny alΓ lan'ny rohy. Tsy niandry anay ireo mpanafika ary tao anatin'ny ora vitsivitsy dia nahita faharefoana XSS kely tao amin'ny serivisy noforonina ary nitatitra izany taminay. Nojerenay sy nohamafisinay ny fisiany. Namboarin'ny ekipan'ny fampandrosoana izany.
Tamin'ny andro faharoa, nifantoka tamin'ny sehatry ny biraon'ny tanΓ na virtoaly ireo mpijirika, ka tsy nisy fanafihana intsony tamin'ny fampiharana, ary afaka niala sasatra tamin'ny alina tsy natory ny mpamorona.
Tamin'ny fiafaran'ny fifaninanana naharitra roa andro dia notolorana loka tsy hay hadinoina ny tetikasa bitaps.
Araka ny niaiky ny mpandray anjara taorian'ny lalao, ny hackathon dia namela azy ireo hitsapa ny tanjaky ny fampiharana ary hanamafy ny fiarovana avo lenta. "Ny fandraisana anjara amin'ny hackathon dia fahafahana lehibe hitsapana ny tetikasanao ho an'ny fiarovana sy hahazoana fahaizana amin'ny kalitao code. Faly izahay: nahavita nanohitra ny fanafihan'ny mpanafika izahay, β nizara ny fihetseham-pony mpikambana ao amin'ny ekipa fampandrosoana bitaps Alexey Karpov. - Fanandramana tsy mahazatra izany, satria tsy maintsy nanatsara ny fampiharana tao anatin'ny toe-javatra mahasosotra izahay, ho an'ny hafainganam-pandeha. Mila manoratra kaody avo lenta ianao, ary amin'izany fotoana izany dia misy risika lehibe amin'ny fanaovana fahadisoana. Amin'ny toe-javatra toy izany dia manomboka mampiasa ny fahaizanao rehetra ianao. ".
Mikasa ny hanao hackathon indray izahay amin'ny taona ho avy. Araho ny vaovao!
Source: www.habr.com