సైబర్ యుద్ధంలో భాగంగా మొదటిసారి PHDays 9లో
వారి రచయితలు సమర్పించిన వాణిజ్యేతర ప్రాజెక్ట్లు మాత్రమే హ్యాకథాన్లో పాల్గొనడానికి అంగీకరించబడ్డాయి. మేము నాలుగు ప్రాజెక్ట్ల నుండి దరఖాస్తులను స్వీకరించాము, కానీ ఒకటి మాత్రమే ఎంపిక చేయబడింది - బిటాప్స్ (
పోటీ ప్రారంభానికి కొన్ని రోజుల ముందు, పాల్గొనేవారు తమ అప్లికేషన్ను ఇన్స్టాల్ చేయడానికి గేమింగ్ ఇన్ఫ్రాస్ట్రక్చర్కు రిమోట్ యాక్సెస్ను పొందారు (ఇది అసురక్షిత విభాగంలో హోస్ట్ చేయబడింది). ది స్టాండ్ఆఫ్లో, దాడి చేసేవారు, వర్చువల్ సిటీ యొక్క అవస్థాపనతో పాటు, అప్లికేషన్పై దాడి చేసి, కనుగొనబడిన దుర్బలత్వాలపై బగ్ బౌంటీ నివేదికలను వ్రాయవలసి ఉంటుంది. నిర్వాహకులు లోపాల ఉనికిని నిర్ధారించిన తర్వాత, డెవలపర్లు వారు కోరుకుంటే వాటిని సరిచేయవచ్చు. అన్ని ధృవీకరించబడిన దుర్బలత్వాల కోసం, దాడి చేసే బృందం పబ్లిక్గా రివార్డ్ను అందుకుంది (ది స్టాండాఫ్ యొక్క గేమ్ కరెన్సీ), మరియు డెవలప్మెంట్ టీమ్కు జరిమానా విధించబడింది.
అలాగే, పోటీ నిబంధనల ప్రకారం, నిర్వాహకులు అప్లికేషన్ను మెరుగుపరచడానికి పాల్గొనేవారికి టాస్క్లను సెట్ చేయవచ్చు: సేవ యొక్క భద్రతను ప్రభావితం చేసే తప్పులు చేయకుండా కొత్త కార్యాచరణను అమలు చేయడం ముఖ్యం. అప్లికేషన్ యొక్క సరైన ఆపరేషన్ యొక్క ప్రతి నిమిషానికి మరియు మెరుగుదలల అమలు కోసం, డెవలపర్లకు విలువైన ప్రజా నిధులు అందించబడ్డాయి. ప్రాజెక్ట్లో దుర్బలత్వం కనుగొనబడితే, అలాగే ప్రతి నిమిషం డౌన్టైమ్ లేదా అప్లికేషన్ యొక్క తప్పు ఆపరేషన్ కోసం, అవి వ్రాయబడతాయి. దీన్ని మా రోబోట్లు నిశితంగా పరిశీలించాయి: వారు సమస్యను కనుగొంటే, మేము దానిని బిటాప్ల బృందానికి నివేదించాము, సమస్యను పరిష్కరించడానికి వారికి అవకాశం కల్పిస్తాము. దాన్ని తొలగించకపోతే నష్టాలకు దారితీసింది. జీవితంలో ప్రతిదీ అలాగే ఉంది!
పోటీ యొక్క మొదటి రోజు, దాడి చేసినవారు సేవను పరీక్షించారు. రోజు ముగిసే సమయానికి, మేము అప్లికేషన్లోని చిన్న చిన్న దుర్బలత్వాల గురించి కొన్ని నివేదికలను మాత్రమే అందుకున్నాము, బిటాప్ల నుండి వచ్చిన అబ్బాయిలు వెంటనే వాటిని పరిష్కరించారు. రాత్రి 23 గంటల సమయంలో, పాల్గొనేవారు విసుగు చెందబోతున్నప్పుడు, సాఫ్ట్వేర్ను మెరుగుపరచడానికి మా నుండి వారికి ప్రతిపాదన వచ్చింది. పని సులభం కాదు. అప్లికేషన్లో అందుబాటులో ఉన్న చెల్లింపు ప్రాసెసింగ్ ఆధారంగా, లింక్ని ఉపయోగించి రెండు వాలెట్ల మధ్య టోకెన్లను బదిలీ చేయడానికి అనుమతించే సేవను అమలు చేయడం అవసరం. చెల్లింపు పంపినవారు - సేవ యొక్క వినియోగదారు - ఒక ప్రత్యేక పేజీలో మొత్తాన్ని నమోదు చేయాలి మరియు ఈ బదిలీ కోసం పాస్వర్డ్ను సూచించాలి. సిస్టమ్ తప్పనిసరిగా ఒక ప్రత్యేక లింక్ను తప్పనిసరిగా రూపొందించాలి, అది చెల్లింపుదారునికి పంపబడుతుంది. గ్రహీత లింక్ను తెరుస్తాడు, బదిలీ కోసం పాస్వర్డ్ను నమోదు చేస్తాడు మరియు మొత్తాన్ని స్వీకరించడానికి అతని వాలెట్ను సూచిస్తుంది.
పనిని స్వీకరించిన తరువాత, కుర్రాళ్ళు ఉత్సాహంగా ఉన్నారు మరియు ఉదయం 4 గంటలకు లింక్ ద్వారా టోకెన్లను బదిలీ చేయడానికి సేవ సిద్ధంగా ఉంది. దాడి చేసేవారు మమ్మల్ని వేచి ఉండనీయలేదు మరియు కొన్ని గంటలలో సృష్టించిన సేవలో ఒక చిన్న XSS దుర్బలత్వాన్ని కనుగొని దానిని మాకు నివేదించారు. మేము దాని లభ్యతను తనిఖీ చేసి నిర్ధారించాము. అభివృద్ధి బృందం దానిని విజయవంతంగా పరిష్కరించింది.
రెండవ రోజు, హ్యాకర్లు తమ దృష్టిని వర్చువల్ నగరం యొక్క కార్యాలయ విభాగంపై కేంద్రీకరించారు, కాబట్టి అప్లికేషన్పై ఎటువంటి దాడులు లేవు మరియు డెవలపర్లు చివరకు నిద్రలేని రాత్రి నుండి విశ్రాంతి తీసుకోవచ్చు.
రెండు రోజుల పోటీ ముగింపులో, మేము బిటాప్స్ ప్రాజెక్ట్కు గుర్తుండిపోయే బహుమతులు అందించాము.
ఆట తర్వాత పాల్గొనేవారు అంగీకరించినట్లుగా, హ్యాకథాన్ అప్లికేషన్ యొక్క బలాన్ని పరీక్షించడానికి మరియు దాని అధిక స్థాయి భద్రతను నిర్ధారించడానికి వారిని అనుమతించింది. “హాకథాన్లో పాల్గొనడం అనేది భద్రత కోసం మీ ప్రాజెక్ట్ను పరీక్షించడానికి మరియు కోడ్ నాణ్యతలో నైపుణ్యాన్ని పొందడానికి గొప్ప అవకాశం. మేము సంతోషిస్తున్నాము: మేము దాడి చేసేవారి దాడిని నిరోధించగలిగాము, - తన అభిప్రాయాలను పంచుకున్నారు బిటాప్స్ డెవలప్మెంట్ టీమ్ సభ్యుడు అలెక్సీ కార్పోవ్. - ఇది అసాధారణమైన అనుభవం, ఎందుకంటే మేము ఒత్తిడితో కూడిన పరిస్థితిలో, వేగం కోసం అప్లికేషన్ను మెరుగుపరచాల్సి వచ్చింది. మీరు అధిక-నాణ్యత కోడ్ను వ్రాయాలి మరియు అదే సమయంలో తప్పులు చేసే ప్రమాదం ఉంది. అటువంటి పరిస్థితులలో మీరు మీ అన్ని నైపుణ్యాలను ఉపయోగించడం ప్రారంభిస్తారు.".
వచ్చే ఏడాది మళ్లీ హ్యాకథాన్ నిర్వహించాలని ప్లాన్ చేస్తున్నాం. వార్తలను అనుసరించండి!
మూలం: www.habr.com