PHDays 9 تي پهريون ڀيرو سائبر جنگ جي حصي طور ڊولپرز لاءِ هڪ هيڪاٿون ٿي گذريو. جڏهن ته محافظ ۽ حملي آور شهر جي ڪنٽرول لاءِ ٻن ڏينهن تائين وڙهندا رهيا، ڊولپرز کي اڳ ۾ لکيل ۽ ترتيب ڏنل ايپليڪيشنن کي اپڊيٽ ڪرڻو پوندو هو ۽ يقيني بڻائيندا هئا ته اهي حملن جي بيراج جي منهن ۾ آسانيءَ سان هلن. اسان توهان کي ٻڌائينداسين ته ان مان ڇا ٿيو.
صرف انهن جي ليکڪن پاران پيش ڪيل غير تجارتي منصوبا هيڪاٿون ۾ حصو وٺڻ لاء قبول ڪيا ويا. اسان چار منصوبن مان درخواستون وصول ڪيون، پر صرف ھڪڙو چونڊيو ويو - bitaps (). ٽيم Bitcoin، Ethereum ۽ ٻين متبادل cryptocurrencies جي بلاڪچين جو تجزيو ڪري ٿي، ادائگي تي عمل ڪري ٿي ۽ هڪ cryptocurrency wallet ٺاهي ٿي.
مقابلي جي شروعات کان ڪجهه ڏينهن اڳ، شرڪت ڪندڙن کي ريموٽ رسائي حاصل ڪئي گیمنگ انفراسٽرڪچر تائين انهن جي ايپليڪيشن کي انسٽال ڪرڻ لاءِ (اها هڪ غير محفوظ حصي ۾ ميزباني ڪئي وئي هئي). اسٽينڊ آف تي، حملو ڪندڙ، مجازي شهر جي انفراسٽرڪچر کان علاوه، ايپليڪيشن تي حملو ڪرڻ ۽ مليل نقصانن تي بگ فضل رپورٽون لکڻيون هيون. منتظمين جي غلطين جي موجودگي جي تصديق ڪرڻ کان پوء، ڊولپرز انھن کي درست ڪري سگھن ٿا جيڪڏھن اھي چاھين. سڀني تصديق ٿيل نقصانن لاءِ، حملي ڪندڙ ٽيم کي عوام ۾ انعام مليو (جي اسٽينڊ آف جي راند جي ڪرنسي)، ۽ ڊولپمينٽ ٽيم کي ڏنڊ لڳايو ويو.
انهي سان گڏ، مقابلي جي شرطن جي مطابق، منتظمين شرڪت ڪندڙن جي ڪمن کي سيٽ ڪري سگھن ٿا ايپليڪيشن کي بهتر ڪرڻ لاء: اهو ضروري هو ته نئين ڪارڪردگي کي لاڳو ڪرڻ کان سواء غلطيون جيڪي خدمت جي سيڪيورٽي کي متاثر ڪن. ايپليڪيشن جي صحيح آپريشن جي هر منٽ ۽ سڌارن جي عمل لاء، ڊولپرز کي قيمتي عوامي فنڊ سان نوازيو ويو. جيڪڏهن پروجيڪٽ ۾ هڪ ڪمزوري ملي ٿي، انهي سان گڏ هر منٽ جي دير يا ايپليڪيشن جي غلط آپريشن لاء، اهي بند ڪيا ويا. اهو اسان جي روبوٽس پاران ويجهي نگراني ڪئي وئي هئي: جيڪڏهن انهن کي ڪو مسئلو مليو، اسان ان کي بائيٽپس ٽيم کي ٻڌايو، انهن کي مسئلو حل ڪرڻ جو موقعو ڏيو. جيڪڏهن ان کي ختم نه ڪيو ويو ته اهو نقصان جو سبب بڻيو. زندگي ۾ سڀ ڪجهه ائين ئي آهي!
مقابلي جي پهرين ڏينهن تي، حملي آورن سروس جي آزمائش ڪئي. ڏينهن جي آخر تائين، اسان کي صرف چند رپورٽون مليون آهن ائپليڪيشن ۾ ننڍڙن نقصانن جا، جن کي بٽاپس جي ماڻهن فوري طور تي درست ڪيو. اٽڪل 23 وڳي، جڏهن شرڪت ڪندڙ بور ٿيڻ وارا هئا، انهن کي اسان جي طرفان سافٽ ويئر کي بهتر ڪرڻ جي تجويز ملي. ڪم سولو نه هو. ايپليڪيشن ۾ موجود ادائگي جي پروسيسنگ جي بنياد تي، هڪ خدمت لاڳو ڪرڻ ضروري هئي جيڪا هڪ لنڪ استعمال ڪندي ٻن ويلٽ جي وچ ۾ ٽوڪن کي منتقل ڪرڻ جي اجازت ڏئي ٿي. ادائگي جو موڪليندڙ - خدمت جو استعمال ڪندڙ - رقم داخل ڪرڻ لازمي آھي خاص صفحي تي ۽ ھن منتقلي لاءِ پاسورڊ ظاھر ڪرڻ گھرجي. سسٽم کي هڪ منفرد لنڪ پيدا ڪرڻ گهرجي جيڪو ادا ڪندڙ ڏانهن موڪليو ويو آهي. وصول ڪندڙ لنڪ کولي ٿو، منتقلي لاء پاسورڊ داخل ڪري ٿو ۽ رقم وصول ڪرڻ لاء سندس والٽ کي اشارو ڪري ٿو.
ٽاسڪ حاصل ڪرڻ بعد، ماڻهو تيار ٿي ويا، ۽ صبح جو 4 وڳي تائين لنڪ ذريعي ٽوڪن جي منتقلي جي خدمت تيار هئي. حملي آورن اسان کي انتظار ۾ نه رکيو ۽ چند ڪلاڪن اندر پيدا ڪيل سروس ۾ هڪ معمولي XSS جي ڪمزوري دريافت ڪئي ۽ اسان کي ٻڌايو. اسان چيڪ ڪيو ۽ ان جي دستيابي جي تصديق ڪئي. ڊولپمينٽ ٽيم ڪاميابي سان ان کي درست ڪيو.
ٻئي ڏينهن تي، هيڪرز پنهنجو ڌيان ورچوئل شهر جي آفيس جي حصي تي مرکوز ڪيو، تنهن ڪري ايپليڪيشن تي وڌيڪ حملا نه ٿيا، ۽ ڊولپرز آخرڪار هڪ ننڊ واري رات کان آرام ڪري سگهيا.
ٻن ڏينهن واري مقابلي جي پڄاڻي تي، اسان bitaps پروجيڪٽ کي يادگار انعام ڏنا.
جيئن ته شرڪت ڪندڙن کي راند کان پوء تسليم ڪيو ويو، هيڪاٿون انهن کي ايپليڪيشن جي طاقت کي جانچڻ ۽ ان جي اعلي سطحي سيڪيورٽي جي تصديق ڪرڻ جي اجازت ڏني. ”هيڪٿون ۾ شرڪت هڪ بهترين موقعو آهي توهان جي پروجيڪٽ جي سيڪيورٽي لاءِ جانچڻ ۽ ڪوڊ جي معيار ۾ مهارت حاصل ڪرڻ جو. اسان خوش آهيون: اسان حملو ڪندڙن جي حملي کي منهن ڏيڻ ۾ ڪامياب ٿي ويا، - سندس تاثرات ورهايو bitaps ڊولپمينٽ ٽيم جو ميمبر Alexey Karpov. - اهو هڪ غير معمولي تجربو هو، ڇاڪاڻ ته اسان کي ايپليڪيشن کي تيز ڪرڻ لاء، دٻاء واري صورتحال ۾ بهتر ڪرڻو پيو. توهان کي اعلي معيار جي ڪوڊ لکڻ جي ضرورت آهي، ۽ ساڳئي وقت غلطي ڪرڻ جو هڪ وڏو خطرو آهي. اهڙين حالتن ۾ توهان پنهنجي سموري صلاحيتن کي استعمال ڪرڻ شروع ڪيو..
اسان ايندڙ سال ٻيهر هيڪاٿون منعقد ڪرڻ جي منصوبابندي ڪري رهيا آهيون. خبرن جي تابعداري ڪريو!
جو ذريعو: www.habr.com