Në PHDays 9 për herë të parë si pjesë e një beteje kibernetike
Vetëm projektet jo-komerciale të paraqitura nga autorët e tyre u pranuan për të marrë pjesë në hackathon. Ne morëm aplikacione nga katër projekte, por u zgjodh vetëm një - bitaps (
Disa ditë para fillimit të konkursit, pjesëmarrësit morën akses në distancë në infrastrukturën e lojrave për të instaluar aplikacionin e tyre (ai u strehua në një segment të pambrojtur). Në The Standoff, sulmuesit, përveç infrastrukturës së qytetit virtual, duhej të sulmonin aplikacionin dhe të shkruanin raporte të bug bounty mbi dobësitë e gjetura. Pasi organizatorët konfirmuan praninë e gabimeve, zhvilluesit mund t'i korrigjonin nëse dëshironin. Për të gjitha dobësitë e konfirmuara, ekipi sulmues mori një shpërblim në publik (monedha e lojës së The Standoff) dhe ekipi i zhvillimit u gjobit.
Gjithashtu, sipas kushteve të konkursit, organizatorët mund t'u vendosnin pjesëmarrësve detyra për të përmirësuar aplikacionin: ishte e rëndësishme të zbatohej funksionaliteti i ri pa bërë gabime që do të ndikonin në sigurinë e shërbimit. Për çdo minutë funksionimi korrekt të aplikacionit dhe për zbatimin e përmirësimeve, zhvilluesve iu dhanë fonde të çmuara publike. Nëse u konstatua një cenueshmëri në projekt, si dhe për çdo minutë ndërprerjeje ose funksionim të gabuar të aplikacionit, ato hiqen. Kjo u monitorua nga afër nga robotët tanë: nëse gjenin një problem, ne e raportonim atë te ekipi i bitaps, duke u dhënë atyre një shans për të rregulluar problemin. Nëse nuk eliminohej, çonte në humbje. Gjithçka është si në jetë!
Në ditën e parë të garës, sulmuesit testuan shërbimin. Deri në fund të ditës, ne morëm vetëm disa raporte për dobësi të vogla në aplikacion, të cilat djemtë nga bitaps i rregulluan menjëherë. Rreth orës 23:XNUMX, kur pjesëmarrësit do të mërziteshin, ata morën një propozim nga ne për të përmirësuar softuerin. Detyra nuk ishte e lehtë. Bazuar në përpunimin e pagesave të disponueshme në aplikacion, ishte e nevojshme të zbatohej një shërbim që do të lejonte transferimin e argumenteve midis dy kuletave duke përdorur një lidhje. Dërguesi i pagesës - përdoruesi i shërbimit - duhet të vendosë shumën në një faqe të veçantë dhe të tregojë fjalëkalimin për këtë transferim. Sistemi duhet të gjenerojë një lidhje unike që i dërgohet përfituesit. Marrësi hap lidhjen, fut fjalëkalimin për transferimin dhe tregon portofolin e tij për të marrë shumën.
Pasi morën detyrën, djemtë u ngritën dhe deri në orën 4 të mëngjesit shërbimi për transferimin e argumenteve përmes lidhjes ishte gati. Sulmuesit nuk na lanë në pritje dhe brenda pak orësh zbuluan një cenueshmëri të vogël XSS në shërbimin e krijuar dhe na e raportuan atë. Ne kontrolluam dhe konfirmuam disponueshmërinë e tij. Ekipi i zhvillimit e rregulloi me sukses.
Në ditën e dytë, hakerët përqendruan vëmendjen e tyre në segmentin e zyrës së qytetit virtual, kështu që nuk pati më sulme ndaj aplikacionit dhe zhvilluesit më në fund mund të pushonin nga një natë pa gjumë.
Në përfundim të konkursit dyditor, ne i dhamë çmime të paharrueshme për projektin bitaps.
Siç pranuan pjesëmarrësit pas lojës, hackathon i lejoi ata të testonin forcën e aplikacionit dhe të konfirmonin nivelin e tij të lartë të sigurisë. “Pjesëmarrja në një hackathon është një shans i madh për të testuar projektin tuaj për sigurinë dhe për të fituar ekspertizë në cilësinë e kodit. Jemi të lumtur: arritëm t'i rezistojmë sulmit të sulmuesve, - ndau përshtypjet e tij anëtar i ekipit të zhvillimit të bitaps Alexey Karpov. - Ishte një përvojë e pazakontë, pasi na u desh të përpunonim aplikacionin në një situatë stresuese, për shpejtësi. Ju duhet të shkruani kod me cilësi të lartë, dhe në të njëjtën kohë ekziston një rrezik i lartë për të bërë gabime. Në kushte të tilla ju filloni të përdorni të gjitha aftësitë tuaja.".
Ne po planifikojmë të mbajmë një hackathon përsëri vitin e ardhshëm. Ndiqni lajmet!
Burimi: www.habr.com