Voor het eerst op PHDays 9 als onderdeel van een cyberbattle Er vond een hackathon voor ontwikkelaars plaats. Terwijl verdedigers en aanvallers twee dagen lang streden om de controle over de stad, moesten ontwikkelaars vooraf geschreven en geïmplementeerde applicaties updaten en ervoor zorgen dat deze soepel bleven werken ondanks een spervuur van aanvallen. Wij vertellen je wat er van terecht is gekomen.
Alleen niet-commerciële projecten die door de auteurs ervan waren ingediend, mochten deelnemen aan de hackathon. We hebben aanvragen ontvangen van vier projecten, maar er werd er slechts één geselecteerd: bitaps (). Het team analyseert de blockchain van Bitcoin, Ethereum en andere alternatieve cryptocurrencies, verwerkt betalingen en ontwikkelt een cryptocurrency wallet.
Een paar dagen voor aanvang van de competitie kregen de deelnemers op afstand toegang tot de gaming-infrastructuur om hun applicatie te installeren (deze werd gehost in een onbeschermd segment). Bij The Standoff moesten aanvallers, naast de infrastructuur van de virtuele stad, de applicatie aanvallen en bugbounty-rapporten schrijven over de gevonden kwetsbaarheden. Nadat de organisatoren de aanwezigheid van fouten hadden bevestigd, konden de ontwikkelaars deze indien gewenst corrigeren. Voor alle bevestigde kwetsbaarheden ontving het aanvallende team een openbare beloning (de spelvaluta van The Standoff) en kreeg het ontwikkelingsteam een boete.
Volgens de voorwaarden van de wedstrijd konden de organisatoren de deelnemers ook taken opdragen om de applicatie te verbeteren: het was belangrijk om nieuwe functionaliteit te implementeren zonder fouten te maken die de veiligheid van de dienst zouden aantasten. Voor elke minuut correcte werking van de applicatie en voor de implementatie van verbeteringen ontvingen de ontwikkelaars kostbare publieke middelen. Als er een kwetsbaarheid werd gevonden in het project, maar ook voor elke minuut downtime of onjuiste werking van de applicatie, werden deze afgeschreven. Dit werd nauwlettend in de gaten gehouden door onze robots: als ze een probleem vonden, meldden we dit aan het bitaps-team, waardoor ze de kans kregen het probleem op te lossen. Als het niet werd geëlimineerd, leidde dit tot verliezen. Alles is zoals in het leven!
Op de eerste wedstrijddag testten de aanvallers de dienst. Aan het eind van de dag ontvingen we slechts enkele meldingen van kleine kwetsbaarheden in de applicatie, die de jongens van bitaps onmiddellijk hebben verholpen. Rond 23 uur, toen de deelnemers zich bijna gingen vervelen, kregen ze van ons een voorstel om de software te verbeteren. De taak was niet gemakkelijk. Op basis van de betalingsverwerking die in de applicatie beschikbaar was, was het noodzakelijk om een dienst te implementeren waarmee tokens via een link tussen twee portemonnees konden worden overgedragen. De afzender van de betaling – de gebruiker van de dienst – moet het bedrag op een speciale pagina invoeren en het wachtwoord voor deze overboeking opgeven. Het systeem moet een unieke link genereren die naar de begunstigde wordt verzonden. De ontvanger opent de link, voert het wachtwoord voor de overboeking in en geeft zijn portemonnee aan om het bedrag te ontvangen.
Nadat ze de taak hadden ontvangen, vrolijkten de jongens op en om 4 uur 's ochtends was de service voor het overbrengen van tokens via de link klaar. De aanvallers lieten ons niet wachten en ontdekten binnen een paar uur een kleine XSS-kwetsbaarheid in de gecreëerde dienst en meldden deze aan ons. We hebben de beschikbaarheid ervan gecontroleerd en bevestigd. Het ontwikkelingsteam heeft het probleem met succes opgelost.
Op de tweede dag concentreerden de hackers hun aandacht op het kantoorgedeelte van de virtuele stad, zodat er geen aanvallen meer op de applicatie plaatsvonden en de ontwikkelaars eindelijk konden uitrusten van een slapeloze nacht.
Aan het einde van de tweedaagse competitie hebben we het bitaps-project gedenkwaardige prijzen uitgereikt.
Zoals de deelnemers na de game toegaf, stelde de hackathon hen in staat de kracht van de applicatie te testen en het hoge beveiligingsniveau te bevestigen. “Deelname aan een hackathon is een geweldige kans om je project te testen op beveiliging en expertise op te doen op het gebied van codekwaliteit. We zijn blij: we zijn erin geslaagd de aanval van de aanvallers te weerstaan, – deelde zijn indrukken lid van het bitaps-ontwikkelingsteam Alexey Karpov. - Het was een ongebruikelijke ervaring, omdat we de applicatie in een stressvolle situatie moesten verfijnen op snelheid. Je moet code van hoge kwaliteit schrijven en tegelijkertijd is de kans op fouten groot. In zulke omstandigheden begin je al je vaardigheden te gebruiken.".
Volgend jaar zijn we van plan om weer een hackathon te houden. Volg het nieuws!
Bron: www.habr.com