På PHDays 9 for første gang som en del av en nettkamp Et hackathon for utviklere fant sted. Mens forsvarere og angripere kjempet i to dager om kontroll over byen, måtte utviklere oppdatere forhåndsskrevne og distribuerte applikasjoner og sørge for at de kjørte jevnt i møte med en floke av angrep. Vi skal fortelle deg hva som kom ut av det.
Bare ikke-kommersielle prosjekter sendt inn av deres forfattere ble akseptert for å delta i hackathon. Vi mottok søknader fra fire prosjekter, men bare ett ble valgt ut - bitaps (). Teamet analyserer blokkjeden til Bitcoin, Ethereum og andre alternative kryptovalutaer, behandler betalinger og utvikler en kryptovaluta-lommebok.
Noen dager før konkurransestart fikk deltakerne ekstern tilgang til spillinfrastrukturen for å installere applikasjonen deres (den var vert i et ubeskyttet segment). På The Standoff måtte angripere, i tillegg til infrastrukturen til den virtuelle byen, angripe applikasjonen og skrive bug bounty-rapporter om sårbarhetene som ble funnet. Etter at arrangørene bekreftet tilstedeværelsen av feil, kunne utviklerne korrigere dem hvis de ønsket. For alle bekreftede sårbarheter mottok det angripende teamet en offentlig belønning (spillvalutaen til The Standoff), og utviklingsteamet ble bøtelagt.
I henhold til konkurransevilkårene kunne arrangørene også sette deltakerne oppgaver for å forbedre applikasjonen: det var viktig å implementere ny funksjonalitet uten å gjøre feil som ville påvirke sikkerheten til tjenesten. For hvert minutt med riktig drift av applikasjonen og for implementering av forbedringer, ble utviklerne tildelt verdifulle offentlige midler. Hvis det ble funnet en sårbarhet i prosjektet, samt for hvert minutt med nedetid eller feil drift av applikasjonen, ble de avskrevet. Dette ble nøye overvåket av robotene våre: hvis de fant et problem, rapporterte vi det til bitaps-teamet, og ga dem en sjanse til å fikse problemet. Hvis det ikke ble eliminert, førte det til tap. Alt er som i livet!
På konkurransens første dag testet angriperne tjenesten. På slutten av dagen mottok vi bare noen få rapporter om mindre sårbarheter i applikasjonen, som gutta fra bitaps raskt fikset. Rundt klokken 23, da deltakerne holdt på å kjede seg, fikk de et forslag fra oss om å forbedre programvaren. Oppgaven var ikke lett. Basert på betalingsbehandlingen tilgjengelig i applikasjonen, var det nødvendig å implementere en tjeneste som ville tillate å overføre tokens mellom to lommebøker ved hjelp av en lenke. Avsenderen av betalingen - brukeren av tjenesten - må angi beløpet på en spesiell side og angi passordet for denne overføringen. Systemet må generere en unik lenke som sendes til betalingsmottaker. Mottakeren åpner lenken, skriver inn passordet for overføringen og indikerer at lommeboken skal motta beløpet.
Etter å ha mottatt oppgaven, ble gutta friske, og klokken 4 om morgenen var tjenesten for overføring av tokens via lenken klar. Angriperne lot oss ikke vente og oppdaget i løpet av få timer en mindre XSS-sårbarhet i den opprettede tjenesten og rapporterte det til oss. Vi sjekket og bekreftet tilgjengeligheten. Utviklingsteamet fikset det.
Den andre dagen konsentrerte hackerne oppmerksomheten om kontorsegmentet til den virtuelle byen, så det var ingen flere angrep på applikasjonen, og utviklerne kunne endelig hvile fra en søvnløs natt.
På slutten av den to dager lange konkurransen delte vi ut bitaps-prosjektets minneverdige priser.
Som deltakerne innrømmet etter kampen, tillot hackathon dem å teste styrken til applikasjonen og bekrefte dets høye sikkerhetsnivå. «Deltakelse i et hackathon er en flott sjanse til å teste prosjektet ditt for sikkerhet og få ekspertise innen kodekvalitet. Vi er glade: vi klarte å motstå angrepet fra angriperne, — delte sine inntrykk medlem av bitaps-utviklingsteamet Alexey Karpov. - Det var en uvanlig opplevelse, siden vi måtte finpusse søknaden i en stressende situasjon, for hurtighet. Du må skrive kode av høy kvalitet, og samtidig er det stor risiko for å gjøre feil. Under slike forhold begynner du å bruke alle dine ferdigheter.".
Vi planlegger å holde et hackathon igjen neste år. Følg med på nyhetene!
Kilde: www.habr.com