Di PHDays 9 buat kali pertama sebagai sebahagian daripada pertempuran siber Hackathon untuk pembangun telah berlaku. Semasa pembela dan penyerang berjuang selama dua hari untuk mengawal bandar, pembangun perlu mengemas kini aplikasi yang telah ditulis dan digunakan serta memastikan ia berjalan lancar dalam menghadapi serangan bertubi-tubi. Kami akan memberitahu anda apa yang berlaku.
Hanya projek bukan komersial yang diserahkan oleh pengarangnya diterima untuk menyertai hackathon itu. Kami menerima permohonan daripada empat projek, tetapi hanya satu yang dipilih - bitaps (). Pasukan menganalisis rantaian Bitcoin, Ethereum dan mata wang kripto alternatif lain, memproses pembayaran dan membangunkan dompet mata wang kripto.
Beberapa hari sebelum permulaan pertandingan, peserta menerima akses jauh ke infrastruktur permainan untuk memasang aplikasi mereka (ia dihoskan dalam segmen yang tidak dilindungi). Di The Standoff, penyerang, sebagai tambahan kepada infrastruktur bandar maya, terpaksa menyerang aplikasi dan menulis laporan hadiah pepijat mengenai kelemahan yang ditemui. Selepas penganjur mengesahkan kehadiran ralat, pemaju boleh membetulkannya jika mereka mahu. Untuk semua kelemahan yang disahkan, pasukan penyerang menerima ganjaran di khalayak ramai (mata wang permainan The Standoff), dan pasukan pembangunan telah didenda.
Selain itu, mengikut syarat pertandingan, penganjur boleh menetapkan tugas peserta untuk menambah baik aplikasi: adalah penting untuk melaksanakan fungsi baharu tanpa membuat kesilapan yang akan menjejaskan keselamatan perkhidmatan. Untuk setiap minit operasi aplikasi yang betul dan untuk pelaksanaan penambahbaikan, pemaju telah dianugerahkan dana awam yang berharga. Jika kelemahan ditemui dalam projek, serta untuk setiap minit masa henti atau operasi aplikasi yang salah, ia telah dihapus kira. Ini dipantau dengan teliti oleh robot kami: jika mereka menemui masalah, kami melaporkannya kepada pasukan bitaps, memberi mereka peluang untuk menyelesaikan masalah itu. Jika ia tidak dihapuskan, ia membawa kepada kerugian. Semuanya seperti dalam kehidupan!
Pada hari pertama pertandingan, penyerang menguji perkhidmatan tersebut. Menjelang penghujung hari, kami hanya menerima beberapa laporan tentang kelemahan kecil dalam aplikasi itu, yang segera diperbaiki oleh lelaki dari bitap. Sekitar jam 23 malam, ketika peserta hampir bosan, mereka menerima cadangan daripada kami untuk menambah baik perisian tersebut. Tugas itu tidak mudah. Berdasarkan pemprosesan pembayaran yang tersedia dalam aplikasi, adalah perlu untuk melaksanakan perkhidmatan yang membolehkan untuk memindahkan token antara dua dompet menggunakan pautan. Pengirim pembayaran - pengguna perkhidmatan - mesti memasukkan jumlah pada halaman khas dan menunjukkan kata laluan untuk pemindahan ini. Sistem mesti menjana pautan unik yang dihantar kepada penerima. Penerima membuka pautan, memasukkan kata laluan untuk pemindahan dan menunjukkan dompetnya untuk menerima jumlah tersebut.
Setelah menerima tugas itu, mereka berasa gembira, dan pada jam 4 pagi perkhidmatan untuk memindahkan token melalui pautan telah siap. Penyerang tidak membuat kami menunggu dan dalam beberapa jam menemui kelemahan kecil XSS dalam perkhidmatan yang dibuat dan melaporkannya kepada kami. Kami menyemak dan mengesahkan ketersediaannya. Pasukan pembangunan berjaya membetulkannya.
Pada hari kedua, penggodam menumpukan perhatian mereka pada segmen pejabat bandar maya, jadi tiada lagi serangan terhadap aplikasi itu, dan pembangun akhirnya dapat berehat dari malam tanpa tidur.
Pada akhir pertandingan dua hari, kami menganugerahkan hadiah yang tidak dapat dilupakan projek bitaps.
Seperti yang diakui oleh peserta selepas permainan, hackathon membenarkan mereka menguji kekuatan aplikasi dan mengesahkan tahap keselamatannya yang tinggi. “Penyertaan dalam hackathon adalah peluang yang baik untuk menguji keselamatan projek anda dan mendapatkan kepakaran dalam kualiti kod. Kami gembira: kami berjaya menahan serangan penyerang, — berkongsi tanggapannya ahli pasukan pembangunan bitaps Alexey Karpov. - Ia adalah pengalaman yang luar biasa, kerana kami perlu memperhalusi aplikasi dalam situasi yang tertekan, untuk kelajuan. Anda perlu menulis kod berkualiti tinggi, dan pada masa yang sama terdapat risiko tinggi untuk membuat kesilapan. Dalam keadaan sedemikian anda mula menggunakan semua kemahiran anda.".
Kami merancang untuk mengadakan hackathon sekali lagi pada tahun hadapan. Ikuti berita!
Sumber: www.habr.com