Na PHDays 9 po raz pierwszy w ramach cyberbitwy Odbył się hackaton dla programistów. Podczas gdy obrońcy i napastnicy przez dwa dni walczyli o kontrolę nad miastem, programiści musieli zaktualizować wcześniej napisane i wdrożone aplikacje, aby zapewnić ich płynne działanie w obliczu lawiny ataków. Powiemy Ci, co z tego wyszło.
Do udziału w hackatonie akceptowane były wyłącznie projekty niekomercyjne, nadesłane przez ich autorów. Otrzymaliśmy zgłoszenia z czterech projektów, ale wybrano tylko jeden – bitaps (). Zespół analizuje blockchain Bitcoina, Ethereum i innych alternatywnych kryptowalut, przetwarza płatności i rozwija portfel kryptowalut.
Na kilka dni przed rozpoczęciem zawodów uczestnicy otrzymali zdalny dostęp do infrastruktury gamingowej w celu zainstalowania swojej aplikacji (była ona hostowana w segmencie niechronionym). W The Standoff napastnicy oprócz infrastruktury wirtualnego miasta musieli zaatakować aplikację i napisać raporty z nagrodami za znalezione luki. Gdy organizatorzy potwierdzili obecność błędów, programiści mogli je poprawić, jeśli chcieli. Za wszystkie potwierdzone luki zespół atakujący otrzymał publiczną nagrodę (waluta gry The Standoff), a zespół programistów został ukarany grzywną.
Ponadto, zgodnie z warunkami konkursu, organizatorzy mogli postawić uczestnikom zadania mające na celu ulepszenie aplikacji: ważne było, aby wdrażać nową funkcjonalność bez popełniania błędów, które wpływałyby na bezpieczeństwo usługi. Za każdą minutę prawidłowego działania aplikacji i za wdrożenie usprawnień twórcy otrzymywali cenne środki publiczne. Jeżeli w projekcie wykryto lukę, a także za każdą minutę przestoju lub nieprawidłowego działania aplikacji, były one spisywane. Było to ściśle monitorowane przez nasze roboty: jeśli znalazły problem, zgłaszaliśmy go zespołowi bitaps, dając im szansę na rozwiązanie problemu. Nie wyeliminowanie tego doprowadziło do strat. Wszystko jest jak w życiu!
Już pierwszego dnia zawodów napastnicy przetestowali usługę. Pod koniec dnia otrzymaliśmy tylko kilka raportów o drobnych lukach w aplikacji, które chłopaki z bitaps natychmiast naprawili. Około godziny 23:XNUMX, gdy uczestnicy już zaczynali się nudzić, otrzymali od nas propozycję ulepszenia oprogramowania. Zadanie nie było łatwe. W oparciu o dostępną w aplikacji obsługę płatności konieczne było wdrożenie usługi umożliwiającej przesyłanie tokenów pomiędzy dwoma portfelami za pomocą łącza. Nadawca płatności – użytkownik usługi – musi wpisać kwotę na specjalnej stronie i wskazać hasło do tego przelewu. System musi wygenerować unikalny link, który zostanie wysłany do odbiorcy. Odbiorca otwiera link, podaje hasło do przelewu i wskazuje swój portfel, aby otrzymać kwotę.
Po otrzymaniu zadania chłopaki ożywili się i o 4 rano usługa przesyłania tokenów za pośrednictwem łącza była gotowa. Napastnicy nie kazali nam czekać i w ciągu kilku godzin odkryli niewielką lukę XSS w stworzonej usłudze i zgłosili ją nam. Sprawdziliśmy i potwierdziliśmy jego dostępność. Zespół programistów pomyślnie to naprawił.
Drugiego dnia hakerzy skupili swoją uwagę na biurowym segmencie wirtualnego miasta, dzięki czemu nie doszło już do ataków na aplikację, a programiści mogli w końcu odpocząć po nieprzespanej nocy.
Na zakończenie dwudniowego konkursu przyznaliśmy projektowi bitaps niezapomniane nagrody.
Jak przyznali uczestnicy po grze, hackaton pozwolił im przetestować wytrzymałość aplikacji i potwierdzić jej wysoki poziom bezpieczeństwa. „Udział w hackatonie to świetna okazja, aby przetestować swój projekt pod kątem bezpieczeństwa i zdobyć wiedzę w zakresie jakości kodu. Cieszymy się: udało nam się odeprzeć atak napastników, — podzielił się wrażeniami członek zespołu programistów bitaps Aleksiej Karpow. - Było to niezwykłe doświadczenie, ponieważ musieliśmy dopracować aplikację w stresującej sytuacji, pod kątem szybkości. Trzeba pisać kod wysokiej jakości, a jednocześnie istnieje duże ryzyko popełnienia błędów. W takich warunkach zaczynasz wykorzystywać wszystkie swoje umiejętności.”.
W przyszłym roku planujemy ponownie zorganizować hackaton. Śledź wiadomości!
Źródło: www.habr.com