ที่ PHDays 9 เป็นครั้งแรกโดยเป็นส่วนหนึ่งของการต่อสู้ทางไซเบอร์ มีแฮ็กกาธอนสำหรับนักพัฒนาเกิดขึ้น ในขณะที่ฝ่ายปกป้องและผู้โจมตีต่อสู้กันเป็นเวลาสองวันเพื่อควบคุมเมือง นักพัฒนาจำเป็นต้องอัปเดตแอปพลิเคชันที่เขียนไว้ล่วงหน้าและใช้งาน และให้แน่ใจว่าแอปพลิเคชันทำงานได้อย่างราบรื่นเมื่อเผชิญกับการโจมตีจำนวนมาก เราจะบอกคุณว่าเกิดอะไรขึ้น
เฉพาะโครงการที่ไม่ใช่เชิงพาณิชย์ที่ส่งโดยผู้เขียนเท่านั้นที่ได้รับการยอมรับให้เข้าร่วมในแฮ็กกาธอน เราได้รับใบสมัครจากสี่โครงการ แต่มีเพียงโครงการเดียวเท่านั้นที่ได้รับเลือก - bitaps (). ทีมงานวิเคราะห์บล็อกเชนของ Bitcoin, Ethereum และสกุลเงินดิจิทัลทางเลือกอื่น ๆ ประมวลผลการชำระเงิน และพัฒนากระเป๋าเงินดิจิทัล
ไม่กี่วันก่อนเริ่มการแข่งขัน ผู้เข้าร่วมจะได้รับการเข้าถึงโครงสร้างพื้นฐานเกมจากระยะไกลเพื่อติดตั้งแอปพลิเคชันของตน (โฮสต์อยู่ในส่วนที่ไม่มีการป้องกัน) ที่ The Standoff ผู้โจมตีนอกเหนือจากโครงสร้างพื้นฐานของเมืองเสมือนจริงแล้ว ยังต้องโจมตีแอปพลิเคชันและเขียนรายงานรางวัลบั๊กเกี่ยวกับช่องโหว่ที่พบ หลังจากที่ผู้จัดงานยืนยันว่ามีข้อผิดพลาดเกิดขึ้น นักพัฒนาสามารถแก้ไขข้อผิดพลาดเหล่านั้นได้หากต้องการ สำหรับช่องโหว่ที่ได้รับการยืนยันทั้งหมด ทีมโจมตีจะได้รับรางวัลในที่สาธารณะ (สกุลเงินในเกมของ The Standoff) และทีมพัฒนาถูกปรับ
นอกจากนี้ ตามเงื่อนไขของการแข่งขัน ผู้จัดงานสามารถกำหนดภารกิจของผู้เข้าร่วมเพื่อปรับปรุงแอปพลิเคชันได้: สิ่งสำคัญคือต้องใช้ฟังก์ชันใหม่โดยไม่ทำผิดพลาดซึ่งจะส่งผลต่อความปลอดภัยของบริการ สำหรับทุกนาทีของการดำเนินการที่ถูกต้องของแอปพลิเคชันและสำหรับการดำเนินการปรับปรุง นักพัฒนาได้รับรางวัลกองทุนสาธารณะอันมีค่า หากพบช่องโหว่ในโครงการตลอดจนทุกนาทีของการหยุดทำงานหรือการดำเนินการที่ไม่ถูกต้องของแอปพลิเคชัน ช่องโหว่เหล่านี้จะถูกตัดออก โรบอตของเราได้รับการตรวจสอบอย่างใกล้ชิด: หากพวกเขาพบปัญหา เราจะรายงานปัญหาดังกล่าวไปยังทีมงาน bitaps เพื่อให้โอกาสพวกเขาแก้ไขปัญหา ถ้าไม่กำจัดก็ขาดทุน ทุกอย่างเหมือนในชีวิต!
ในวันแรกของการแข่งขัน ผู้โจมตีได้ทดสอบการให้บริการ ในตอนท้ายของวัน เราได้รับรายงานเพียงไม่กี่ฉบับเกี่ยวกับช่องโหว่เล็กน้อยในแอปพลิเคชัน ซึ่งคนจาก bitaps ได้แก้ไขทันที ประมาณ 23 น. เมื่อผู้เข้าร่วมเริ่มเบื่อ พวกเขาได้รับข้อเสนอจากเราให้ปรับปรุงซอฟต์แวร์ งานไม่ใช่เรื่องง่าย จากการประมวลผลการชำระเงินที่มีอยู่ในแอปพลิเคชัน จำเป็นต้องใช้บริการที่จะอนุญาตให้โอนโทเค็นระหว่างสองกระเป๋าเงินโดยใช้ลิงก์ ผู้ส่งการชำระเงิน - ผู้ใช้บริการ - ต้องป้อนจำนวนเงินในหน้าพิเศษและระบุรหัสผ่านสำหรับการโอนเงินนี้ ระบบจะต้องสร้างลิงค์เฉพาะที่ส่งไปยังผู้รับเงิน ผู้รับเปิดลิงก์ ป้อนรหัสผ่านสำหรับการโอน และระบุกระเป๋าเงินของเขาเพื่อรับจำนวนเงิน
เมื่อได้รับงานแล้วพวกเขาก็ลุกขึ้นและเมื่อถึงเวลา 4 โมงเช้าบริการสำหรับการโอนโทเค็นผ่านลิงก์ก็พร้อม ผู้โจมตีไม่ได้ปล่อยให้เรารอและภายในไม่กี่ชั่วโมงก็ค้นพบช่องโหว่ XSS เล็กน้อยในบริการที่สร้างขึ้นและรายงานให้เราทราบ เราได้ตรวจสอบและยืนยันความพร้อมใช้งานแล้ว ทีมพัฒนาแก้ไขได้สำเร็จ
ในวันที่สอง แฮกเกอร์มุ่งความสนใจไปที่ส่วนสำนักงานของเมืองเสมือนจริง ดังนั้นจึงไม่มีการโจมตีแอปพลิเคชันอีกต่อไป และในที่สุดนักพัฒนาก็สามารถพักผ่อนจากการนอนไม่หลับได้ในที่สุด
เมื่อสิ้นสุดการแข่งขันสองวัน เราได้มอบรางวัลที่น่าจดจำให้กับโครงการ bitaps
ตามที่ผู้เข้าร่วมยอมรับหลังจบเกม Hackathon อนุญาตให้พวกเขาทดสอบความแข็งแกร่งของแอปพลิเคชันและยืนยันระดับความปลอดภัยระดับสูง “การเข้าร่วมแฮ็กกาธอนเป็นโอกาสอันดีที่จะทดสอบโปรเจ็กต์ของคุณเพื่อความปลอดภัย และได้รับความเชี่ยวชาญในด้านคุณภาพของโค้ด เราดีใจ: เราสามารถต้านทานการโจมตีของผู้โจมตีได้ — แบ่งปันความประทับใจของเขา สมาชิกของทีมพัฒนา bitaps Alexey Karpov - มันเป็นประสบการณ์ที่ไม่ธรรมดา เนื่องจากเราต้องปรับแต่งแอปพลิเคชันในสถานการณ์ที่ตึงเครียดเพื่อความรวดเร็ว คุณต้องเขียนโค้ดคุณภาพสูง และในขณะเดียวกันก็มีความเสี่ยงสูงที่จะทำผิดพลาด ในสภาวะเช่นนี้ คุณจะเริ่มใช้ทักษะทั้งหมดของคุณ".
เรากำลังวางแผนที่จะจัดงาน Hackathon อีกครั้งในปีหน้า ติดตามข่าว!
ที่มา: will.com