Katika PHDays 9 kwa mara ya kwanza kama sehemu ya vita vya mtandao hackathon kwa watengenezaji. Wakati watetezi na washambuliaji walipokuwa wakipigania udhibiti wa jiji kwa siku mbili, wasanidi programu walilazimika kusasisha programu zilizoandikwa mapema na kutumwa na kuzifanya ziendelee vizuri chini ya msururu wa mashambulizi. Wacha tuzungumze juu ya kile kilichotoka ndani yake.
Miradi isiyo ya kibiashara pekee iliyowasilishwa na waandishi wao ilikubaliwa kushiriki katika hackathon. Tulipokea maombi kutoka kwa miradi minne, lakini moja tu ndiyo iliyochaguliwa - bitaps () Timu inajishughulisha na uchanganuzi wa blockchain kwa bitcoin, ethereum na sarafu zingine mbadala za crypto, hufanya usindikaji wa malipo na kuunda pochi ya cryptocurrency.
Siku chache kabla ya kuanza kwa shindano, washiriki walipokea ufikiaji wa mbali kwa miundombinu ya michezo ya kubahatisha ili kusakinisha programu yao (iliwekwa kwenye sehemu isiyo salama). Katika The Standoff, washambuliaji, pamoja na miundombinu ya jiji pepe, walilazimika kushambulia programu na kuandika ripoti za fadhila za hitilafu juu ya udhaifu uliopatikana. Baada ya waandaaji kuthibitisha kuwepo kwa makosa, watengenezaji wanaweza kusahihisha kwa hiari. Kwa udhaifu wote uliothibitishwa, timu ya washambuliaji ilipokea zawadi kwa umma (sarafu ya mchezo wa The Standoff), na timu ya uendelezaji ilitozwa faini.
Pia, chini ya masharti ya ushindani, waandaaji wanaweza kuweka kazi kwa washiriki kukamilisha maombi: ilikuwa muhimu kutekeleza utendaji mpya bila kufanya makosa ambayo yanaathiri usalama wa huduma. Kwa kila dakika ya utendakazi sahihi wa programu na kwa utekelezaji wa maboresho, watengenezaji walitunukiwa matangazo ya thamani. Ikiwa udhaifu ulipatikana katika mradi, na pia kwa kila dakika ya muda wa chini au uendeshaji usio sahihi wa programu, zilifutwa. Hili lilifuatiliwa kwa karibu na roboti zetu: ikiwa zilipata tatizo, tuliripoti kwa timu ya bitap, kuwapa nafasi ya kurekebisha tatizo. Ikiwa haikuondolewa, ilisababisha hasara. Kila kitu ni kama katika maisha!
Siku ya kwanza ya shindano hilo, washambuliaji walichunguza huduma hiyo. Mwisho wa siku, tulipokea ripoti chache tu za udhaifu mdogo katika programu, ambazo watu wa bitap walirekebisha haraka. Mahali fulani saa 23:XNUMX, washiriki walipokaribia kuchoka, walipokea pendekezo kutoka kwetu ili kuboresha programu. Kazi haikuwa rahisi. Kulingana na usindikaji wa malipo unaopatikana katika programu, ilikuwa ni lazima kutekeleza huduma ambayo ingeruhusu kuhamisha ishara kati ya pochi mbili kwa kutumia kiungo. Mtumaji wa malipo - mtumiaji wa huduma - kwenye ukurasa maalum lazima aingie kiasi na kutaja nenosiri la uhamisho huu. Mfumo unapaswa kuzalisha kiungo cha kipekee ambacho kinatumwa kwa anayelipwa. Mpokeaji anafungua kiungo, anaingiza nenosiri kwa uhamisho na anaonyesha mkoba wake kupokea kiasi.
Baada ya kupokea kazi hiyo, watu hao walisimama, na saa 4 asubuhi huduma ya kuhamisha ishara kupitia kiunga ilikuwa tayari. Washambuliaji hawakujiweka kusubiri, na baada ya saa chache waligundua udhaifu mdogo wa XSS katika huduma iliyoundwa na wakaripoti kwetu. Tuliangalia na kuthibitisha uwepo wake. Timu ya maendeleo iliisuluhisha kwa mafanikio.
Siku ya pili, wavamizi hao walielekeza umakini wao kwenye sehemu ya ofisi ya jiji pepe, kwa hivyo hakukuwa na shambulio tena kwenye programu, na watengenezaji wangeweza kuchukua mapumziko kutoka kwa usiku wa kukosa usingizi.
Kutokana na shindano hilo la siku mbili, tuliupa mradi wa bitap zawadi za kukumbukwa.
Kama washiriki walikubali baada ya mchezo, hackathon ilifanya iwezekane kujaribu ombi la nguvu na kudhibitisha kiwango chake cha juu cha usalama. "Kushiriki katika hackathon ni nafasi nzuri ya kujaribu mradi wako kwa usalama na kupata utaalam juu ya ubora wa nambari. Tunafurahi: tuliweza kupinga mashambulizi ya washambuliaji, - alishiriki maoni yake Alexey Karpov, mwanachama wa timu ya maendeleo ya bitas. - Ilikuwa ni uzoefu usio wa kawaida, kwani tulipaswa kuboresha programu katika hali ya shida, kwa kasi. Unahitaji kuandika msimbo wa ubora, na wakati huo huo kuna hatari kubwa ya kufanya makosa. Katika hali kama hizi, unaanza kutumia ujuzi wako wote..
Mwaka ujao tunapanga kuandaa hackathon tena. Fuata habari!
Chanzo: mapenzi.com