Bir siber savaşın parçası olarak ilk kez PHDays 9'da geliştiriciler için hackathon. Savunmacılar ve saldırganlar iki gün boyunca şehrin kontrolü için savaşırken, geliştiricilerin önceden yazılmış ve dağıtılan uygulamaları güncellemesi ve bir saldırı yağmuru altında sorunsuz çalışmasını sağlaması gerekiyordu. Ortaya ne çıktığı hakkında konuşalım.
Hackathon'a yalnızca yazarları tarafından sunulan ticari olmayan projeler kabul edildi. Dört projeden başvuru aldık, ancak yalnızca biri seçildi - bitaps (). Ekip, bitcoin, ethereum ve diğer alternatif kripto para birimleri için blockchain analitiği ile uğraşıyor, ödeme işlemlerini gerçekleştiriyor ve bir kripto para birimi cüzdanı geliştiriyor.
Yarışmanın başlamasından birkaç gün önce, katılımcılar uygulamalarını yüklemek için oyun altyapısına uzaktan erişim elde etti (güvenli olmayan bir segmente yerleştirildi). The Standoff'ta saldırganlar, sanal şehrin altyapısına ek olarak uygulamaya saldırmak ve bulunan güvenlik açıkları hakkında bug bounty raporları yazmak zorunda kaldı. Organizatörler hataların varlığını onayladıktan sonra, geliştiriciler isteğe bağlı olarak hataları düzeltebilir. Teyit edilen tüm güvenlik açıkları için, saldıran ekip herkese açık bir ödül (The Standoff oyun para birimi) aldı ve geliştirme ekibi para cezasına çarptırıldı.
Ayrıca, yarışma şartlarına göre organizatörler, katılımcılara uygulamayı tamamlamaları için görevler belirleyebilir: hizmetin güvenliğini etkileyen hatalar yapmadan yeni işlevleri uygulamak önemliydi. Uygulamanın doğru çalıştırılmasının ve iyileştirmelerin uygulanmasının her dakikası için, geliştiriciler değerli halk tarafından ödüllendirildi. Projede bir güvenlik açığı bulunursa ve uygulamanın her dakika kesinti veya yanlış çalışması için silindi. Bu, robotlarımız tarafından yakından izlendi: Bir sorun bulurlarsa, sorunu çözmeleri için bitaps ekibine bildirdik. Ortadan kaldırılmazsa kayıplara yol açtı. Her şey hayattaki gibi!
Yarışmanın ilk gününde saldırganlar servisi inceledi. Günün sonunda, uygulamadaki küçük güvenlik açıklarına ilişkin yalnızca birkaç rapor aldık ve bitaps görevlileri hızla düzeltti. Saat 23:XNUMX sıralarında, katılımcılar tam sıkılmak üzereyken yazılımı geliştirmek için bizden bir teklif aldılar. Görev kolay değildi. Uygulamada bulunan ödeme işlemine bağlı olarak, bir bağlantı kullanarak iki cüzdan arasında jeton aktarımına izin verecek bir hizmetin uygulanması gerekiyordu. Ödemeyi gönderen - hizmetin kullanıcısı - özel bir sayfada tutarı girmeli ve bu transfer için şifreyi belirtmelidir. Sistem, alacaklıya gönderilen benzersiz bir bağlantı oluşturmalıdır. Alıcı bağlantıyı açar, transfer için şifreyi girer ve tutarı almak için cüzdanını gösterir.
Görevi alan adamlar canlandı ve sabah saat 4'te bağlantı yoluyla belirteç aktarma hizmeti hazırdı. Saldırganlar kendilerini bekletmediler ve birkaç saat sonra oluşturulan serviste küçük bir XSS açığı keşfedip bize bildirdiler. Varlığını kontrol ettik ve onayladık. Geliştirme ekibi sorunu başarıyla düzeltti.
İkinci gün, bilgisayar korsanları dikkatlerini sanal şehrin ofis bölümüne odakladılar, böylece uygulamaya daha fazla saldırı olmadı ve geliştiriciler nihayet uykusuz bir geceye ara verebildiler.
İki gün süren yarışma sonucunda bitaps projesini unutulmaz ödüllerle ödüllendirdik.
Katılımcıların oyundan sonra kabul ettikleri gibi, hackathon uygulamanın gücünü test etmeyi ve yüksek güvenlik seviyesini doğrulamayı mümkün kıldı. "Bir hackathon'a katılmak, projenizin güvenliğini test etmek ve kod kalitesi konusunda uzmanlaşmak için harika bir fırsat. Memnunuz: Saldırganların saldırısına direnmeyi başardık, - izlenimlerini paylaştı Bitaps geliştirme ekibinin üyesi Alexey Karpov. - Hız için uygulamayı stresli bir durumda geliştirmek zorunda kaldığımız için alışılmadık bir deneyimdi. Yüksek kaliteli kod yazmanız gerekir ve aynı zamanda hata yapma riski de yüksektir. Bu gibi durumlarda, tüm becerilerinizi kullanmaya başlarsınız..
Gelecek yıl yine bir hackathon düzenlemeyi planlıyoruz. Haberleri takip edin!
Kaynak: habr.com