PHDays 9 дээр анх удаа кибер тулалдааны нэг хэсэг болж байна Хөгжүүлэгчдэд зориулсан хакатон зохион байгуулагдлаа. Хамгаалагч болон халдагч нар хотоо хяналтандаа авахын төлөө хоёр өдрийн турш тулалдаж байхад хөгжүүлэгчид урьдчилан бичсэн болон байршуулсан программуудаа шинэчилж, довтолгооны үед саадгүй ажиллах ёстой байв. Үүнээс юу болсныг бид танд хэлэх болно.
Зөвхөн зохиогчдын ирүүлсэн арилжааны бус төслүүдийг хакатонд оролцохыг зөвшөөрсөн. Бид дөрвөн төслөөс өргөдөл хүлээн авсан боловч зөвхөн нэгийг нь сонгосон - bitaps (). Тус багийнхан Bitcoin, Ethereum болон бусад криптовалютуудын блокчэйнд дүн шинжилгээ хийж, төлбөр тооцоог боловсруулж, криптовалют түрийвчийг хөгжүүлдэг.
Тэмцээн эхлэхээс хэдхэн хоногийн өмнө оролцогчид өөрсдийн программыг суулгахын тулд тоглоомын дэд бүтцэд алсаас хандах эрх авсан (энэ нь хамгаалалтгүй сегментэд байрлуулсан). The Standoff дээр халдагчид виртуал хотын дэд бүтцээс гадна програм руу довтолж, илрүүлсэн сул талуудын талаар алдааны урамшууллын тайлан бичих шаардлагатай болсон. Зохион байгуулагчид алдаа байгаа эсэхийг баталгаажуулсны дараа хөгжүүлэгчид хүсвэл тэдгээрийг засч залруулах боломжтой. Батлагдсан бүх сул талуудын хувьд довтолж буй баг олон нийтийн өмнө шагнал авсан (The Standoff-ийн тоглоомын валют) бөгөөд хөгжүүлэлтийн багийг торгосон.
Мөн тэмцээний нөхцлийн дагуу зохион байгуулагчид оролцогчдод програмыг сайжруулах даалгавар өгч болно: үйлчилгээний аюулгүй байдалд нөлөөлөх алдаа гаргахгүйгээр шинэ функцийг хэрэгжүүлэх нь чухал байв. Аппликешныг зөв ажиллуулж, сайжруулалтыг хэрэгжүүлсэн минут тутамд хөгжүүлэгчид олон нийтийн үнэт хөрөнгөөр шагнагджээ. Хэрэв төсөлд эмзэг байдал илэрсэн бол, мөн програмын сул зогсолт, буруу ажилласан минут тутамд тэдгээрийг хассан. Үүнийг манай роботууд сайтар хянаж байсан: хэрэв тэд асуудал олсон бол бид үүнийг bitaps багт мэдэгдэж, асуудлыг засах боломжийг олгосон. Үүнийг арилгахгүй бол алдагдалд хүргэсэн. Бүх зүйл амьдрал шиг байна!
Тэмцээний эхний өдөр халдлага үйлдэгчид уг үйлчилгээг туршиж үзсэн байна. Өдрийн эцэс гэхэд бид програмын бага зэргийн сул талуудын талаар цөөн хэдэн мэдээллүүдийг хүлээн авсан бөгөөд үүнийг bitap-ийн залуус нэн даруй зассан. Оройн 23 цагийн орчимд оролцогчид залхах гэж байтал программ хангамжаа сайжруулах санал манайхаас ирсэн. Даалгавар амаргүй байсан. Аппликешнд байгаа төлбөрийн боловсруулалт дээр үндэслэн холбоос ашиглан хоёр түрийвчний хооронд жетон шилжүүлэх үйлчилгээг хэрэгжүүлэх шаардлагатай болсон. Төлбөр илгээгч - үйлчилгээний хэрэглэгч - тусгай хуудсан дээр дүнг оруулж, энэ шилжүүлгийн нууц үгийг зааж өгөх ёстой. Систем нь төлбөр авагч руу илгээсэн өвөрмөц холбоос үүсгэх ёстой. Хүлээн авагч нь холбоосыг нээж, шилжүүлгийн нууц үгээ оруулаад мөнгөө авахын тулд түрийвчээ зааж өгнө.
Даалгаврыг хүлээн авсны дараа залуус сэргэж, өглөөний 4 цагт холбоосоор жетон шилжүүлэх үйлчилгээ бэлэн болжээ. Халдагчид биднийг хүлээгээгүй бөгөөд хэдхэн цагийн дотор үүсгэсэн үйлчилгээнд XSS-ийн бага зэргийн сул талыг олж мэдээд бидэнд мэдэгдсэн. Бид шалгаж, бэлэн эсэхийг баталгаажуулсан. Хөгжлийн баг үүнийг амжилттай зассан.
Хоёр дахь өдөр хакерууд виртуал хотын оффисын сегментэд анхаарлаа төвлөрүүлсэн тул програм руу халдлага гарахаа больсон бөгөөд хөгжүүлэгчид эцэст нь нойргүй хонож амрах боломжтой болсон.
Хоёр өдөр үргэлжилсэн уралдааны төгсгөлд бид bitaps төслийн дурсгалын шагналуудыг гардууллаа.
Тоглолтын дараа оролцогчид хүлээн зөвшөөрснөөр хакатон нь програмын хүч чадлыг шалгаж, түүний өндөр түвшний аюулгүй байдлыг баталгаажуулах боломжийг олгосон юм. “Хакатон тэмцээнд оролцох нь төслийн аюулгүй байдлыг шалгах, кодын чанарын талаар мэдлэг олж авах сайхан боломж юм. Бид баяртай байна: бид халдагчдын довтолгоог эсэргүүцэж чадсан, - гэж сэтгэгдлээ хуваалцлаа bitaps хөгжүүлэлтийн багийн гишүүн Алексей Карпов. - Энэ нь ер бусын туршлага байсан, учир нь бид стресстэй нөхцөлд, хурдыг нэмэгдүүлэхийн тулд програмыг сайжруулах шаардлагатай болсон. Та өндөр чанартай код бичих хэрэгтэй бөгөөд үүний зэрэгцээ алдаа гаргах эрсдэл өндөр байдаг. Ийм нөхцөлд та бүх чадвараа ашиглаж эхэлдэг.".
Ирэх жил дахин хакатон зохион байгуулахаар төлөвлөж байна. Мэдээг дагаж мөрдөөрэй!
Эх сурвалж: www.habr.com