På PHDays 9 för första gången som en del av en cyberstrid hackathon för utvecklare. När försvarare och angripare kämpade om kontrollen över staden i två dagar, var utvecklarna tvungna att uppdatera förskrivna och distribuerade applikationer och hålla dem igång smidigt under en störtflod av attacker. Låt oss prata om vad som kom ut ur det.
Endast icke-kommersiella projekt som skickats in av deras författare godkändes för att delta i hackathon. Vi fick ansökningar från fyra projekt, men bara ett valdes ut - bitaps (). Teamet ägnar sig åt blockkedjeanalys för bitcoin, ethereum och andra alternativa kryptovalutor, utför betalningsbehandling och utvecklar en kryptovaluta-plånbok.
Några dagar innan tävlingsstart fick deltagarna fjärråtkomst till spelinfrastrukturen för att installera sin applikation (den placerades i ett osäkert segment). På The Standoff var angriparna, förutom infrastrukturen i den virtuella staden, tvungna att attackera applikationen och skriva bugg-bounty-rapporter om de upptäckta sårbarheterna. Efter att arrangörerna bekräftat förekomsten av fel, kunde utvecklarna valfritt korrigera dem. För alla bekräftade sårbarheter fick det angripande laget en belöning i publiken (The Standoff-spelvaluta), och utvecklingsteamet bötfälldes.
Under tävlingsvillkoren kunde arrangörerna också ställa in uppgifter för deltagarna att slutföra ansökan: det var viktigt att implementera ny funktionalitet utan att göra misstag som påverkar tjänstens säkerhet. För varje minut av applikationens korrekta funktion och för genomförandet av förbättringar tilldelades utvecklare värdefulla publiker. Om en sårbarhet hittades i projektet, liksom för varje minut av driftstopp eller felaktig drift av applikationen, skrevs de av. Detta övervakades noga av våra robotar: om de hittade ett problem rapporterade vi det till bitaps-teamet, vilket gav dem en chans att åtgärda problemet. Om det inte eliminerades ledde det till förluster. Allt är som i livet!
På tävlingens första dag undersökte angriparna tjänsten. Vid slutet av dagen fick vi bara ett fåtal rapporter om mindre sårbarheter i applikationen, som bitapskillarna snabbt fixade. Någonstans vid 23:XNUMX-tiden, när deltagarna höll på att bli uttråkade, fick de ett förslag från oss om att förbättra mjukvaran. Uppgiften var inte lätt. Baserat på betalningshanteringen som var tillgänglig i applikationen var det nödvändigt att implementera en tjänst som skulle tillåta överföring av tokens mellan två plånböcker med hjälp av en länk. Avsändaren av betalningen - användaren av tjänsten - på en speciell sida måste ange beloppet och ange lösenordet för denna överföring. Systemet ska generera en unik länk som skickas till betalningsmottagaren. Mottagaren öppnar länken, anger lösenordet för överföringen och anger att hans plånbok ska ta emot beloppet.
Efter att ha fått uppdraget piggnade killarna på sig och vid 4-tiden på morgonen var tjänsten för överföring av tokens via länken klar. Angriparna lät sig inte vänta, och efter några timmar upptäckte de en mindre XSS-sårbarhet i den skapade tjänsten och rapporterade det till oss. Vi kontrollerade och bekräftade dess närvaro. Utvecklingsteamet fixade det framgångsrikt.
Den andra dagen fokuserade hackarna sin uppmärksamhet på kontorssegmentet i den virtuella staden, så det fanns inga fler attacker mot applikationen, och utvecklarna kunde äntligen ta en paus från en sömnlös natt.
Som ett resultat av den två dagar långa tävlingen belönade vi bitapsprojektet med minnesvärda priser.
Som deltagarna erkände efter matchen gjorde hackathon det möjligt att testa applikationens styrka och bekräfta dess höga säkerhetsnivå. "Deltagande i ett hackathon är en fantastisk chans att testa ditt projekt för säkerhet och få en expertis på kodkvalitet. Vi är glada: vi lyckades motstå attackerna från angriparna, - delade med sig av sina intryck Alexey Karpov, medlem av utvecklingsteamet för bitaps. - Det var en ovanlig upplevelse, eftersom vi var tvungna att förfina applikationen i en stressig situation, för snabbhet. Du måste skriva högkvalitativ kod och samtidigt är risken stor att göra fel. Under sådana förhållanden börjar du använda alla dina färdigheter..
Nästa år planerar vi att arrangera ett hackathon igen. Följ nyheterna!
Källa: will.com