Sa PHDays 9 sa unang pagkakataon bilang bahagi ng isang cyber battle Isang hackathon para sa mga developer ang naganap. Habang ang mga tagapagtanggol at umaatake ay nakipaglaban sa loob ng dalawang araw para sa kontrol ng lungsod, ang mga developer ay kailangang i-update ang mga paunang nakasulat at na-deploy na mga application at tiyaking tumatakbo ang mga ito nang maayos sa harap ng isang barrage ng mga pag-atake. Sasabihin namin sa iyo kung ano ang nangyari.
Tanging mga non-commercial na proyekto na isinumite ng kanilang mga may-akda ang tinanggap upang lumahok sa hackathon. Nakatanggap kami ng mga aplikasyon mula sa apat na proyekto, ngunit isa lamang ang napili - bitaps (). Sinusuri ng team ang blockchain ng Bitcoin, Ethereum at iba pang alternatibong cryptocurrencies, nagpoproseso ng mga pagbabayad at bumuo ng cryptocurrency wallet.
Ilang araw bago magsimula ang kumpetisyon, ang mga kalahok ay nakatanggap ng malayuang pag-access sa imprastraktura ng paglalaro upang mai-install ang kanilang aplikasyon (ito ay naka-host sa isang hindi protektadong segment). Sa The Standoff, ang mga umaatake, bilang karagdagan sa imprastraktura ng virtual na lungsod, ay kailangang atakihin ang application at magsulat ng mga ulat ng bug bounty sa mga nakitang kahinaan. Matapos kumpirmahin ng mga organizer ang pagkakaroon ng mga error, maaaring itama ng mga developer ang mga ito kung nais nila. Para sa lahat ng nakumpirmang kahinaan, nakatanggap ang umaatakeng team ng reward sa publiko (ang larong currency ng The Standoff), at pinagmulta ang development team.
Gayundin, ayon sa mga tuntunin ng kumpetisyon, ang mga organizer ay maaaring magtakda ng mga gawain ng mga kalahok upang mapabuti ang aplikasyon: mahalagang ipatupad ang bagong pag-andar nang hindi nagkakamali na makakaapekto sa seguridad ng serbisyo. Para sa bawat minuto ng tamang operasyon ng application at para sa pagpapatupad ng mga pagpapabuti, ang mga developer ay iginawad ng mahalagang pampublikong pondo. Kung may nakitang kahinaan sa proyekto, gayundin para sa bawat minuto ng downtime o maling operasyon ng application, isinulat ang mga ito. Ito ay mahigpit na sinusubaybayan ng aming mga robot: kung nakakita sila ng isang problema, iniulat namin ito sa koponan ng bitaps, na nagbibigay sa kanila ng pagkakataong ayusin ang problema. Kung hindi ito inalis, ito ay humantong sa pagkalugi. Parang lahat sa buhay!
Sa unang araw ng kumpetisyon, sinubukan ng mga umaatake ang serbisyo. Sa pagtatapos ng araw, nakatanggap lamang kami ng ilang mga ulat ng mga menor de edad na kahinaan sa application, na agad na naayos ng mga lalaki mula sa bitap. Bandang 23 p.m., nang magsawa na ang mga kalahok, nakatanggap sila ng proposal mula sa amin para pagbutihin ang software. Hindi naging madali ang gawain. Batay sa pagpoproseso ng pagbabayad na magagamit sa aplikasyon, kinakailangan na magpatupad ng isang serbisyo na magbibigay-daan sa paglipat ng mga token sa pagitan ng dalawang wallet gamit ang isang link. Ang nagpadala ng pagbabayad - ang gumagamit ng serbisyo - ay dapat magpasok ng halaga sa isang espesyal na pahina at ipahiwatig ang password para sa paglipat na ito. Ang system ay dapat bumuo ng isang natatanging link na ipinadala sa nagbabayad. Binuksan ng tatanggap ang link, ipinasok ang password para sa paglipat at ipinapahiwatig ang kanyang wallet upang matanggap ang halaga.
Nang matanggap ang gawain, ang mga lalaki ay sumigla, at pagsapit ng ika-4 ng umaga ang serbisyo para sa paglilipat ng mga token sa pamamagitan ng link ay handa na. Hindi kami pinahintay ng mga umaatake at sa loob ng ilang oras ay natuklasan ang isang menor de edad na kahinaan ng XSS sa ginawang serbisyo at iniulat ito sa amin. Sinuri namin at nakumpirma ang availability nito. Matagumpay itong naayos ng development team.
Sa ikalawang araw, itinuon ng mga hacker ang kanilang atensyon sa bahagi ng opisina ng virtual na lungsod, kaya wala nang mga pag-atake sa application, at sa wakas ay makakapagpahinga na ang mga developer mula sa walang tulog na gabi.
Sa pagtatapos ng dalawang araw na kompetisyon, iginawad namin ang mga di malilimutang premyo sa proyektong bitaps.
Tulad ng pag-amin ng mga kalahok pagkatapos ng laro, pinayagan sila ng hackathon na subukan ang lakas ng application at kumpirmahin ang mataas na antas ng seguridad nito. βAng pakikilahok sa isang hackathon ay isang magandang pagkakataon upang subukan ang iyong proyekto para sa seguridad at makakuha ng kadalubhasaan sa kalidad ng code. Natutuwa kami: nagawa naming labanan ang pagsalakay ng mga umaatake, β nagbahagi ng kanyang mga impression miyembro ng bitaps development team Alexey Karpov. - Ito ay isang hindi pangkaraniwang karanasan, dahil kailangan naming pinuhin ang aplikasyon sa isang nakababahalang sitwasyon, para sa bilis. Kailangan mong magsulat ng mataas na kalidad na code, at sa parehong oras ay may mataas na panganib na magkamali. Sa ganitong mga kundisyon, sisimulan mong gamitin ang lahat ng iyong kakayahan.".
Nagpaplano kaming magsagawa muli ng hackathon sa susunod na taon. Sundan ang balita!
Pinagmulan: www.habr.com