PHDays 9 میں پہلی بار سائبر جنگ کے حصے کے طور پر ڈویلپرز کے لیے ایک ہیکاتھون منعقد ہوا۔ جب کہ محافظوں اور حملہ آوروں نے شہر کے کنٹرول کے لیے دو دن تک لڑائی لڑی، ڈویلپرز کو پہلے سے لکھی ہوئی اور تعینات کردہ ایپلیکیشنز کو اپ ڈیٹ کرنا تھا اور یہ یقینی بنانا تھا کہ وہ حملوں کی بیراج کا سامنا کرتے ہوئے آسانی سے چلیں۔ ہم آپ کو بتائیں گے کہ اس سے کیا نکلا۔
ہیکاتھون میں حصہ لینے کے لیے ان کے مصنفین کی طرف سے جمع کرائے گئے صرف غیر تجارتی منصوبوں کو ہی قبول کیا گیا۔ ہمیں چار منصوبوں سے درخواستیں موصول ہوئیں، لیکن صرف ایک کو منتخب کیا گیا - bitaps ()۔ ٹیم Bitcoin، Ethereum اور دیگر متبادل کرپٹو کرنسیوں کے بلاک چین کا تجزیہ کرتی ہے، ادائیگیوں پر کارروائی کرتی ہے اور ایک کریپٹو کرنسی والیٹ تیار کرتی ہے۔
مقابلہ شروع ہونے سے چند دن پہلے، شرکاء کو اپنی ایپلیکیشن انسٹال کرنے کے لیے گیمنگ انفراسٹرکچر تک ریموٹ رسائی حاصل ہوئی (اس کی میزبانی ایک غیر محفوظ حصے میں کی گئی تھی)۔ اسٹینڈ آف میں، حملہ آوروں کو، ورچوئل سٹی کے بنیادی ڈھانچے کے علاوہ، ایپلی کیشن پر حملہ کرنا پڑا اور پائے جانے والے خطرات پر بگ باؤنٹی رپورٹ لکھنی پڑی۔ منتظمین کی طرف سے غلطیوں کی موجودگی کی تصدیق کے بعد، ڈویلپر چاہیں تو انہیں درست کر سکتے ہیں۔ تمام تصدیق شدہ کمزوریوں کے لیے، حملہ آور ٹیم کو عوامی طور پر انعام ملا (اسٹینڈ آف کی گیم کرنسی)، اور ترقیاتی ٹیم پر جرمانہ عائد کیا گیا۔
نیز، مقابلے کی شرائط کے مطابق، منتظمین ایپلی کیشن کو بہتر بنانے کے لیے شرکاء کے ٹاسک مقرر کر سکتے ہیں: یہ ضروری تھا کہ نئی فعالیت کو غلطیاں کیے بغیر لاگو کیا جائے جس سے سروس کی سیکیورٹی متاثر ہو۔ درخواست کے درست آپریشن کے ہر منٹ اور بہتری کے نفاذ کے لیے، ڈویلپرز کو قیمتی عوامی فنڈز سے نوازا گیا۔ اگر پراجیکٹ میں کوئی کمزوری پائی گئی، نیز ہر منٹ کے ڈاؤن ٹائم یا ایپلیکیشن کے غلط آپریشن کے لیے، وہ رائٹ آف کر دی گئیں۔ ہمارے روبوٹس کی طرف سے اس کی کڑی نگرانی کی گئی: اگر انہیں کوئی مسئلہ نظر آتا ہے، تو ہم نے بٹاپس ٹیم کو اس کی اطلاع دی، انہیں مسئلہ حل کرنے کا موقع دیا۔ اگر اسے ختم نہ کیا گیا تو اس سے نقصان ہوا۔ زندگی میں سب کچھ ایسا ہی ہے!
مقابلے کے پہلے دن حملہ آوروں نے سروس کا تجربہ کیا۔ دن کے اختتام تک، ہمیں درخواست میں معمولی کمزوریوں کی صرف چند رپورٹیں موصول ہوئیں، جنہیں bitaps کے لڑکوں نے فوری طور پر ٹھیک کر دیا۔ 23 بجے کے قریب، جب شرکاء بور ہونے والے تھے، تو انہیں ہماری طرف سے سافٹ ویئر کو بہتر بنانے کی تجویز موصول ہوئی۔ کام آسان نہیں تھا۔ درخواست میں دستیاب ادائیگی کی کارروائی کی بنیاد پر، ایک ایسی سروس کو لاگو کرنا ضروری تھا جو ایک لنک کا استعمال کرتے ہوئے دو بٹوے کے درمیان ٹوکن منتقل کر سکے۔ ادائیگی بھیجنے والے کو - سروس کا صارف - کو ایک خاص صفحہ پر رقم درج کرنی ہوگی اور اس منتقلی کے لیے پاس ورڈ کی نشاندہی کرنی ہوگی۔ سسٹم کو ایک منفرد لنک بنانا چاہیے جو وصول کنندہ کو بھیجا جاتا ہے۔ وصول کنندہ لنک کو کھولتا ہے، منتقلی کے لیے پاس ورڈ داخل کرتا ہے اور رقم وصول کرنے کے لیے اپنے بٹوے کو اشارہ کرتا ہے۔
ٹاسک ملنے کے بعد، لوگ اٹھ کھڑے ہوئے، اور صبح 4 بجے تک لنک کے ذریعے ٹوکن ٹرانسفر کرنے کی سروس تیار تھی۔ حملہ آوروں نے ہمیں انتظار نہیں کیا اور چند گھنٹوں کے اندر تخلیق کردہ سروس میں ایک معمولی XSS کمزوری کا پتہ چلا اور ہمیں اس کی اطلاع دی۔ ہم نے چیک کیا اور اس کی دستیابی کی تصدیق کی۔ ترقیاتی ٹیم نے کامیابی سے اسے ٹھیک کر دیا۔
دوسرے دن، ہیکرز نے اپنی توجہ ورچوئل سٹی کے دفتری حصے پر مرکوز کر دی، اس لیے ایپلی کیشن پر مزید حملے نہیں ہوئے، اور ڈویلپرز آخر کار ایک بے خوابی سے آرام کر سکے۔
دو روزہ مقابلے کے اختتام پر، ہم نے bitaps پروجیکٹ کو یادگار انعامات سے نوازا۔
جیسا کہ شرکاء نے کھیل کے بعد اعتراف کیا، ہیکاتھون نے انہیں ایپلی کیشن کی طاقت کو جانچنے اور اس کی اعلیٰ سطح کی حفاظت کی تصدیق کرنے کی اجازت دی۔ "ہیکاتھون میں شرکت آپ کے پراجیکٹ کو سیکورٹی کے لیے جانچنے اور کوڈ کے معیار میں مہارت حاصل کرنے کا ایک بہترین موقع ہے۔ ہمیں خوشی ہے: ہم حملہ آوروں کے حملے کا مقابلہ کرنے میں کامیاب ہو گئے، - اپنے تاثرات کا اشتراک کیا۔ بٹاپ ڈیولپمنٹ ٹیم کے رکن الیکسی کارپوف۔ - یہ ایک غیر معمولی تجربہ تھا، کیونکہ ہمیں رفتار کے لیے دباؤ والی صورتحال میں ایپلیکیشن کو بہتر کرنا تھا۔ آپ کو اعلی معیار کا کوڈ لکھنے کی ضرورت ہے، اور اس کے ساتھ ہی غلطیاں کرنے کا بھی زیادہ خطرہ ہے۔ ایسے حالات میں آپ اپنی تمام صلاحیتیں استعمال کرنا شروع کر دیتے ہیں۔".
ہم اگلے سال دوبارہ ہیکاتھون منعقد کرنے کا منصوبہ بنا رہے ہیں۔ خبروں پر عمل کریں!
ماخذ: www.habr.com