PHDays 9 da birinchi marta kiber jangning bir qismi sifatida Ishlab chiquvchilar uchun xakaton bo'lib o'tdi. Himoyachilar va hujumchilar shaharni nazorat qilish uchun ikki kun davomida kurashgan bir paytda, ishlab chiquvchilar oldindan yozilgan va o'rnatilgan ilovalarni yangilashlari va hujumlar to'lqini oldida muammosiz ishlashini ta'minlashlari kerak edi. Buning nima bo'lganini sizga aytamiz.
Xakatonda qatnashish uchun faqat ularning mualliflari tomonidan taqdim etilgan notijorat loyihalar qabul qilindi. Biz to'rtta loyihadan ariza oldik, faqat bittasi tanlandi - bitaps (). Jamoa Bitcoin, Ethereum va boshqa muqobil kriptovalyutalarning blokcheynini tahlil qiladi, to‘lovlarni qayta ishlaydi va kriptovalyuta hamyonini ishlab chiqadi.
Musobaqa boshlanishidan bir necha kun oldin ishtirokchilar o‘z ilovasini o‘rnatish uchun o‘yin infratuzilmasiga masofadan kirish huquqiga ega bo‘ldilar (u himoyalanmagan segmentda joylashtirilgan). The Standoff-da tajovuzkorlar virtual shahar infratuzilmasidan tashqari, ilovaga hujum qilishlari va topilgan zaifliklar bo'yicha xatoliklar haqida hisobot yozishlari kerak edi. Tashkilotchilar xatolar mavjudligini tasdiqlaganidan so'ng, ishlab chiquvchilar, agar xohlasalar, ularni tuzatishi mumkin edi. Barcha tasdiqlangan zaifliklar uchun hujumchi jamoa omma oldida mukofot oldi (The Standoff o'yin valyutasi) va ishlab chiqish guruhi jarimaga tortildi.
Shuningdek, tanlov shartlariga ko‘ra, tashkilotchilar ishtirokchilar oldiga ilovani takomillashtirish bo‘yicha vazifalar qo‘yishlari mumkin edi: xizmat xavfsizligiga ta’sir qiladigan xatolikka yo‘l qo‘ymasdan, yangi funksiyalarni amalga oshirish muhim edi. Ilovaning har bir daqiqasi to'g'ri ishlashi va takomillashtirishni amalga oshirish uchun ishlab chiquvchilar qimmatbaho davlat mablag'lari bilan taqdirlandilar. Agar loyihada zaiflik aniqlangan bo'lsa, shuningdek, har bir daqiqada to'xtab qolish yoki dasturning noto'g'ri ishlashi uchun ular hisobdan chiqarildi. Bu bizning robotlarimiz tomonidan diqqat bilan kuzatilgan: agar ular muammo topsa, biz bitaps jamoasiga xabar berib, ularga muammoni hal qilish imkoniyatini berdik. Agar u bartaraf etilmasa, bu yo'qotishlarga olib keldi. Hamma narsa hayotdagi kabi!
Musobaqaning birinchi kunida hujumchilar xizmatni sinab ko'rishdi. Kun oxiriga kelib, biz bitaps yigitlari zudlik bilan tuzatgan ilovadagi kichik zaifliklar haqida bir nechta xabarlarni oldik. Soat 23:XNUMX atrofida ishtirokchilar zerikmoqchi bo‘lganlarida, bizdan dasturiy ta’minotni yaxshilash taklifini olishdi. Vazifa oson emas edi. Ilovada mavjud bo'lgan to'lovlarni qayta ishlashga asoslanib, ikkita hamyon o'rtasida tokenlarni havola orqali o'tkazish imkonini beradigan xizmatni amalga oshirish kerak edi. To'lovni jo'natuvchi - xizmatdan foydalanuvchi - maxsus sahifada summani kiritishi va ushbu o'tkazma uchun parolni ko'rsatishi kerak. Tizim oluvchiga yuboriladigan noyob havolani yaratishi kerak. Qabul qiluvchi havolani ochadi, pul o'tkazish uchun parolni kiritadi va pulni olish uchun hamyonini ko'rsatadi.
Vazifani olgandan so'ng, yigitlar qo'zg'aldilar va ertalab soat 4 ga kelib, havola orqali tokenlarni o'tkazish xizmati tayyor edi. Hujumchilar bizni kutishmadi va bir necha soat ichida yaratilgan xizmatda kichik XSS zaifligini aniqladi va bu haqda bizga xabar berdi. Biz uning mavjudligini tekshirdik va tasdiqladik. Rivojlanish guruhi uni muvaffaqiyatli tuzatdi.
Ikkinchi kuni xakerlar e'tiborini virtual shaharning ofis segmentiga qaratdi, shuning uchun ilovaga boshqa hujumlar bo'lmadi va ishlab chiquvchilar nihoyat uyqusiz tundan dam olishdi.
Ikki kunlik tanlov yakunida bitaps loyihasini esdalik sovg‘alari bilan taqdirladik.
Ishtirokchilar o‘yindan so‘ng tan olganidek, hakaton ularga ilovaning kuchini sinab ko‘rish va uning yuqori darajadagi xavfsizlik darajasini tasdiqlash imkonini berdi. “Hakatonda ishtirok etish – loyihangizni xavfsizlikni sinab ko‘rish va kod sifati bo‘yicha tajriba orttirish uchun ajoyib imkoniyat. Biz xursandmiz: biz hujumchilarning hujumiga qarshi tura oldik, — taassurotlari bilan o‘rtoqlashdi bitaps ishlab chiqish guruhi a'zosi Aleksey Karpov. - Bu g'ayrioddiy tajriba edi, chunki biz tezkorlik uchun stressli vaziyatda dasturni yaxshilashimiz kerak edi. Siz yuqori sifatli kod yozishingiz kerak va shu bilan birga xato qilish xavfi yuqori. Bunday sharoitda siz barcha mahoratingizni ishga solasiz.".
Kelgusi yil yana xakaton o'tkazishni rejalashtirganmiz. Yangiliklarni kuzatib boring!
Manba: www.habr.com