F'PHDays 9 għall-ewwel darba bħala parti minn battalja ċibernetika Sar hackathon għall-iżviluppaturi. Filwaqt li d-difensuri u l-attakkanti ġġieldu għal jumejn għall-kontroll tal-belt, l-iżviluppaturi kellhom jaġġornaw applikazzjonijiet miktuba minn qabel u skjerati u jiżguraw li jimxu bla xkiel quddiem barrage ta’ attakki. Aħna ngħidulek x'ġara minnha.
Proġetti mhux kummerċjali biss sottomessi mill-awturi tagħhom ġew aċċettati biex jipparteċipaw fl-hackathon. Irċevejna applikazzjonijiet minn erba' proġetti, iżda ntgħażel wieħed biss - bitaps (). It-tim janalizza l-blockchain ta 'Bitcoin, Ethereum u kripto-muniti alternattivi oħra, jipproċessa ħlasijiet u jiżviluppa kartiera kripto-munita.
Ftit jiem qabel il-bidu tal-kompetizzjoni, il-parteċipanti rċevew aċċess mill-bogħod għall-infrastruttura tal-logħob biex jinstallaw l-applikazzjoni tagħhom (kienet ospitat f'segment mhux protett). F'The Standoff, l-attakkanti, minbarra l-infrastruttura tal-belt virtwali, kellhom jattakkaw l-applikazzjoni u jiktbu rapporti ta 'bunty ta' bug dwar il-vulnerabbiltajiet misjuba. Wara li l-organizzaturi kkonfermaw il-preżenza ta 'żbalji, l-iżviluppaturi jistgħu jikkoreġuhom jekk jixtiequ. Għall-vulnerabbiltajiet kollha kkonfermati, it-tim li jattakka rċieva premju fil-pubbliku (il-munita tal-logħba ta 'The Standoff), u t-tim tal-iżvilupp ġie mmultat.
Ukoll, skont it-termini tal-kompetizzjoni, l-organizzaturi setgħu jistabbilixxu kompiti lill-parteċipanti biex itejbu l-applikazzjoni: kien importanti li tiġi implimentata funzjonalità ġdida mingħajr ma jsiru żbalji li jaffettwaw is-sigurtà tas-servizz. Għal kull minuta ta 'tħaddim korrett tal-applikazzjoni u għall-implimentazzjoni ta' titjib, l-iżviluppaturi ngħataw fondi pubbliċi prezzjużi. Jekk instabet vulnerabbiltà fil-proġett, kif ukoll għal kull minuta ta 'waqfien jew tħaddim ħażin tal-applikazzjoni, dawn ġew imħassra. Dan kien immonitorjat mill-qrib mir-robots tagħna: jekk sabu problema, aħna rrappurtajnaha lit-tim tal-bitaps, u tajnihom iċ-ċans li jirranġaw il-problema. Jekk ma ġietx eliminata, wasslet għal telf. Kollox bħal fil-ħajja!
Fl-ewwel jum tal-kompetizzjoni, l-attakkanti ttestjaw is-servizz. Sa l-aħħar tal-ġurnata, irċevejna biss ftit rapporti ta 'vulnerabbiltajiet minuri fl-applikazzjoni, li l-guys minn bitaps ffissati fil-pront. Għall-ħabta tal-23 p.m., meta l-parteċipanti kienu se jiddejqu, irċevew proposta mingħandna biex itejbu s-software. Il-kompitu ma kienx faċli. Ibbażat fuq l-ipproċessar tal-ħlas disponibbli fl-applikazzjoni, kien meħtieġ li jiġi implimentat servizz li jippermetti t-trasferiment ta 'tokens bejn żewġ kartieri permezz ta' link. Min jibgħat il-ħlas - l-utent tas-servizz - għandu jdaħħal l-ammont fuq paġna speċjali u jindika l-password għal dan it-trasferiment. Is-sistema trid tiġġenera link unika li tintbagħat lill-benefiċjarju. Ir-riċevitur jiftaħ il-link, idaħħal il-password għat-trasferiment u jindika l-kartiera tiegħu biex jirċievi l-ammont.
Wara li rċevew il-kompitu, il-ġuvini ħarġu, u sa 4:XNUMX filgħodu s-servizz għat-trasferiment tat-tokens permezz tal-link kien lest. L-attakkanti ma żammewna nistennew u fi ftit sigħat skoprew vulnerabbiltà XSS minuri fis-servizz maħluq u rrappurtawna. Aħna vverifikajna u kkonfermajna d-disponibbiltà tagħha. It-tim ta 'żvilupp irranġaha b'suċċess.
Fit-tieni jum, il-hackers ikkonċentraw l-attenzjoni tagħhom fuq is-segment tal-uffiċċju tal-belt virtwali, għalhekk ma kienx hemm aktar attakki fuq l-applikazzjoni, u l-iżviluppaturi setgħu finalment jistrieħu minn lejl bla rqad.
Fi tmiem il-kompetizzjoni ta’ jumejn, tajna premjijiet memorabbli tal-proġett bitaps.
Kif ammettew il-parteċipanti wara l-logħba, l-hackathon ippermettilhom jittestjaw is-saħħa tal-applikazzjoni u jikkonfermaw il-livell għoli ta 'sigurtà tagħha. “Il-parteċipazzjoni f’hackathon hija ċans kbir biex tittestja l-proġett tiegħek għas-sigurtà u tikseb għarfien espert fil-kwalità tal-kodiċi. Aħna ferħanin: irnexxielna nirreżistu l-attakk tal-attakkanti, — qasam l-impressjonijiet tiegħu membru tat-tim tal-iżvilupp tal-bitaps Alexey Karpov. - Kienet esperjenza mhux tas-soltu, peress li kellna nirfinaw l-applikazzjoni f'sitwazzjoni stressanti, għall-ħeffa. Għandek bżonn tikteb kodiċi ta 'kwalità għolja, u fl-istess ħin hemm riskju għoli li tagħmel żbalji. F'kundizzjonijiet bħal dawn tibda tuża l-ħiliet tiegħek kollha.".
Qed nippjanaw li nerġgħu norganizzaw hackathon is-sena d-dieħla. Segwi l-aħbarijiet!
Sors: www.habr.com