சைபர் போரின் ஒரு பகுதியாக முதல் முறையாக PHDays 9 இல் டெவலப்பர்களுக்கான ஹேக்கத்தான் நடைபெற்றது. பாதுகாவலர்களும் தாக்குபவர்களும் நகரத்தின் கட்டுப்பாட்டிற்காக இரண்டு நாட்கள் போராடியபோது, டெவலப்பர்கள் முன்பே எழுதப்பட்ட மற்றும் பயன்படுத்தப்பட்ட பயன்பாடுகளைப் புதுப்பித்து, சரமாரியான தாக்குதல்களை எதிர்கொண்டு அவை சீராக இயங்குவதை உறுதிசெய்ய வேண்டியிருந்தது. அதில் என்ன வந்தது என்பதை நாங்கள் உங்களுக்குச் சொல்வோம்.
அவற்றின் ஆசிரியர்களால் சமர்ப்பிக்கப்பட்ட வணிக ரீதியான திட்டங்கள் மட்டுமே ஹேக்கத்தானில் பங்கேற்க ஏற்றுக்கொள்ளப்பட்டன. நாங்கள் நான்கு திட்டங்களிலிருந்து விண்ணப்பங்களைப் பெற்றோம், ஆனால் ஒன்று மட்டுமே தேர்ந்தெடுக்கப்பட்டது - பிட்டாப்ஸ் () குழு Bitcoin, Ethereum மற்றும் பிற மாற்று கிரிப்டோகரன்சிகளின் பிளாக்செயினை பகுப்பாய்வு செய்கிறது, பணம் செலுத்துகிறது மற்றும் கிரிப்டோகரன்சி வாலட்டை உருவாக்குகிறது.
போட்டி தொடங்குவதற்கு சில நாட்களுக்கு முன்பு, பங்கேற்பாளர்கள் தங்கள் பயன்பாட்டை நிறுவ கேமிங் உள்கட்டமைப்பிற்கான தொலைநிலை அணுகலைப் பெற்றனர் (இது ஒரு பாதுகாப்பற்ற பிரிவில் ஹோஸ்ட் செய்யப்பட்டது). The Standoff இல், தாக்குதல் நடத்துபவர்கள், மெய்நிகர் நகரத்தின் உள்கட்டமைப்புக்கு கூடுதலாக, பயன்பாட்டைத் தாக்கி, கண்டறியப்பட்ட பாதிப்புகள் குறித்த பிழை வரவு அறிக்கைகளை எழுத வேண்டும். ஒழுங்கமைப்பாளர்கள் பிழைகள் இருப்பதை உறுதிசெய்த பிறகு, டெவலப்பர்கள் விரும்பினால் அவற்றை சரிசெய்யலாம். அனைத்து உறுதிப்படுத்தப்பட்ட பாதிப்புகளுக்கும், தாக்குதல் குழு பொதுவில் வெகுமதியைப் பெற்றது (The Standoff இன் விளையாட்டு நாணயம்), மேலும் மேம்பாட்டுக் குழுவிற்கு அபராதம் விதிக்கப்பட்டது.
மேலும், போட்டியின் விதிமுறைகளின்படி, விண்ணப்பத்தைச் செம்மைப்படுத்த பங்கேற்பாளர்களின் பணிகளை அமைப்பாளர்கள் அமைக்கலாம்: சேவையின் பாதுகாப்பைப் பாதிக்கும் தவறுகளைச் செய்யாமல் புதிய செயல்பாட்டைச் செயல்படுத்துவது முக்கியம். பயன்பாட்டின் சரியான செயல்பாட்டின் ஒவ்வொரு நிமிடத்திற்கும், மேம்பாடுகளைச் செயல்படுத்துவதற்கும், டெவலப்பர்களுக்கு விலைமதிப்பற்ற பொது நிதி வழங்கப்பட்டது. திட்டத்தில் பாதிப்பு கண்டறியப்பட்டால், அதே போல் ஒவ்வொரு நிமிட வேலையில்லா நேரம் அல்லது பயன்பாட்டின் தவறான செயல்பாட்டிற்கும், அவை எழுதப்பட்டன. இது எங்கள் ரோபோக்களால் உன்னிப்பாகக் கண்காணிக்கப்பட்டது: அவர்கள் ஒரு சிக்கலைக் கண்டறிந்தால், நாங்கள் அதை பிடாப்ஸ் குழுவிற்குப் புகாரளித்து, சிக்கலைச் சரிசெய்ய அவர்களுக்கு வாய்ப்பளிக்கிறோம். அது அகற்றப்படாவிட்டால், அது இழப்புக்கு வழிவகுத்தது. வாழ்க்கையில் எல்லாம் அப்படித்தான்!
போட்டியின் முதல் நாளில், தாக்குதல் நடத்தியவர்கள் சேவையை சோதனை செய்தனர். நாளின் முடிவில், பயன்பாட்டில் உள்ள சிறிய பாதிப்புகள் குறித்த சில அறிக்கைகளை மட்டுமே நாங்கள் பெற்றோம், அதை பிடாப்களில் இருந்து தோழர்கள் உடனடியாக சரிசெய்தனர். இரவு 23 மணியளவில், பங்கேற்பாளர்கள் சலிப்படையவிருந்தபோது, மென்பொருளை மேம்படுத்த எங்களிடம் இருந்து ஒரு முன்மொழிவு கிடைத்தது. பணி எளிதாக இருக்கவில்லை. பயன்பாட்டில் உள்ள கட்டணச் செயலாக்கத்தின் அடிப்படையில், ஒரு இணைப்பைப் பயன்படுத்தி இரண்டு பணப்பைகளுக்கு இடையில் டோக்கன்களை மாற்ற அனுமதிக்கும் சேவையை செயல்படுத்த வேண்டியது அவசியம். கட்டணத்தை அனுப்புபவர் - சேவையின் பயனர் - ஒரு சிறப்பு பக்கத்தில் தொகையை உள்ளிட்டு, இந்த பரிமாற்றத்திற்கான கடவுச்சொல்லைக் குறிக்க வேண்டும். பணம் பெறுபவருக்கு அனுப்பப்படும் தனிப்பட்ட இணைப்பை கணினி உருவாக்க வேண்டும். பெறுநர் இணைப்பைத் திறந்து, பரிமாற்றத்திற்கான கடவுச்சொல்லை உள்ளிட்டு, தொகையைப் பெற அவரது பணப்பையைக் குறிப்பிடுகிறார்.
பணியைப் பெற்ற பிறகு, தோழர்களே உற்சாகமடைந்தனர், அதிகாலை 4 மணியளவில் இணைப்பு வழியாக டோக்கன்களை மாற்றுவதற்கான சேவை தயாராக இருந்தது. தாக்குபவர்கள் எங்களை காத்திருக்க வைக்கவில்லை, மேலும் சில மணிநேரங்களில் உருவாக்கப்பட்ட சேவையில் சிறிய XSS பாதிப்பைக் கண்டறிந்து அதை எங்களிடம் தெரிவித்தனர். அதன் இருப்பை நாங்கள் சரிபார்த்து உறுதிப்படுத்தினோம். மேம்பாட்டுக் குழு அதை வெற்றிகரமாக சரிசெய்தது.
இரண்டாவது நாளில், ஹேக்கர்கள் மெய்நிகர் நகரத்தின் அலுவலகப் பிரிவில் தங்கள் கவனத்தைச் செலுத்தினர், எனவே பயன்பாட்டின் மீது தாக்குதல்கள் எதுவும் இல்லை, மேலும் டெவலப்பர்கள் இறுதியாக தூக்கமில்லாத இரவில் ஓய்வெடுக்கலாம்.
இரண்டு நாள் போட்டியின் முடிவில், பிடாப்ஸ் திட்டத்திற்கு மறக்கமுடியாத பரிசுகளை வழங்கினோம்.
விளையாட்டிற்குப் பிறகு பங்கேற்பாளர்கள் ஒப்புக்கொண்டது போல், ஹேக்கத்தான் பயன்பாட்டின் வலிமையை சோதிக்கவும் அதன் உயர் மட்ட பாதுகாப்பை உறுதிப்படுத்தவும் அனுமதித்தது. “ஹேக்கத்தானில் பங்கேற்பது உங்கள் திட்டத்தைப் பாதுகாப்பிற்காகச் சோதிக்கவும் குறியீடு தரத்தில் நிபுணத்துவத்தைப் பெறவும் ஒரு சிறந்த வாய்ப்பாகும். நாங்கள் மகிழ்ச்சியடைகிறோம்: தாக்குபவர்களின் தாக்குதலை நாங்கள் எதிர்க்க முடிந்தது, - தனது அபிப்ராயங்களைப் பகிர்ந்து கொண்டார் பிடாப்ஸ் மேம்பாட்டுக் குழுவின் உறுப்பினர் அலெக்ஸி கார்போவ். - இது ஒரு அசாதாரண அனுபவமாக இருந்தது, ஏனெனில் ஒரு அழுத்தமான சூழ்நிலையில், வேகத்திற்காக பயன்பாட்டை செம்மைப்படுத்த வேண்டியிருந்தது. நீங்கள் உயர்தர குறியீட்டை எழுத வேண்டும், அதே நேரத்தில் தவறுகளைச் செய்வதற்கான அதிக ஆபத்து உள்ளது. அத்தகைய சூழ்நிலைகளில் நீங்கள் உங்கள் எல்லா திறமைகளையும் பயன்படுத்தத் தொடங்குகிறீர்கள்.".
அடுத்த ஆண்டு மீண்டும் ஹேக்கத்தான் நடத்த திட்டமிட்டுள்ளோம். செய்திகளைப் பின்தொடரவும்!
ஆதாரம்: www.habr.com