На 9-ти PHDays за прв пат како дел од сајбер битка
За учество на хакатонот беа прифатени само некомерцијални проекти поднесени од нивните автори. Добивме апликации од четири проекти, но беше избран само еден - битапс (
Неколку дена пред почетокот на натпреварот, учесниците добија далечински пристап до гејмерската инфраструктура за да ја инсталираат својата апликација (таа беше хостирана во незаштитен сегмент). Во The Standoff, напаѓачите, покрај инфраструктурата на виртуелниот град, мораа да ја нападнат апликацијата и да пишуваат извештаи за баунти за грешки за пронајдените пропусти. Откако организаторите го потврдија присуството на грешки, програмерите можеа да ги поправат доколку сакаат. За сите потврдени пропусти, напаѓачкиот тим доби награда јавно (валутата на играта на The Standoff), а тимот за развој беше казнет.
Исто така, според условите на натпреварот, организаторите можеа да им постават задачи на учесниците за подобрување на апликацијата: важно беше да се имплементираат нова функционалност без да се прават грешки што би влијаеле на безбедноста на услугата. За секоја минута правилно функционирање на апликацијата и за спроведување на подобрувања, на програмерите им беа доделени скапоцени јавни средства. Доколку се најде ранливост во проектот, како и за секоја минута прекин или неправилно работење на апликацијата, тие се отпишуваат. Ова беше внимателно следено од нашите роботи: ако пронајдоа проблем, го пријавивме до тимот на битапс, давајќи им шанса да го решат проблемот. Ако не се елиминираше, доведе до загуби. Сè е исто како во животот!
На првиот ден од натпреварувањето напаѓачите го тестираа сервисот. До крајот на денот добивме само неколку пријави за помали пропусти во апликацијата, кои момците од битапс веднаш ги поправија. Околу 23 часот, кога на учесниците им беше досадно, од нас добија предлог за подобрување на софтверот. Задачата не беше лесна. Врз основа на обработката на плаќањата достапна во апликацијата, неопходно беше да се имплементира услуга што ќе овозможи пренос на токени помеѓу два паричници со помош на врска. Испраќачот на плаќањето - корисникот на услугата - мора да го внесе износот на посебна страница и да ја наведе лозинката за овој трансфер. Системот мора да генерира единствена врска што се испраќа до примачот на плаќање. Примачот ја отвора врската, ја внесува лозинката за трансферот и го означува својот паричник за да ја добие сумата.
Откако ја добија задачата, момците се развија и до 4 часот наутро услугата за пренос на токени преку врската беше подготвена. Напаѓачите не чекаа и за неколку часа открија мала ранливост на XSS во креираната услуга и ни ја пријавија. Ја проверивме и ја потврдивме неговата достапност. Развојниот тим успешно го поправи.
Вториот ден, хакерите го концентрираа своето внимание на канцеларискиот сегмент на виртуелниот град, па немаше повеќе напади на апликацијата, а програмерите конечно можеа да се одморат од непроспиената ноќ.
На крајот од дводневниот натпревар, на проектот bitaps му доделивме незаборавни награди.
Како што признаа учесниците по натпреварот, хакатонот им овозможи да ја тестираат силата на апликацијата и да го потврдат нејзиното високо ниво на безбедност. „Учеството на хакатон е одлична шанса да го тестирате вашиот проект за безбедност и да стекнете експертиза за квалитетот на кодот. Драго ни е: успеавме да се спротивставиме на нападот на напаѓачите, - ги сподели своите впечатоци член на тимот за развој на битапс Алексеј Карпов. - Тоа беше необично искуство, бидејќи моравме да ја усовршиме апликацијата во стресна ситуација, за брзина. Треба да напишете висококвалитетен код, а во исто време постои голем ризик да направите грешки. Во такви услови почнуваш да ги користиш сите ваши вештини“..
Планираме повторно да одржиме хакатон следната година. Следете ги вестите!
Извор: www.habr.com