Tại PHDays 9 lần đầu tiên như một phần của trận chiến mạng Một cuộc thi hackathon dành cho các nhà phát triển đã diễn ra. Trong khi những người bảo vệ và những kẻ tấn công chiến đấu trong hai ngày để giành quyền kiểm soát thành phố, các nhà phát triển phải cập nhật các ứng dụng được viết sẵn và triển khai, đồng thời đảm bảo chúng chạy trơn tru trước hàng loạt cuộc tấn công. Chúng tôi sẽ cho bạn biết điều gì đã xảy ra.
Chỉ những dự án phi thương mại do tác giả của chúng gửi mới được chấp nhận tham gia hackathon. Chúng tôi đã nhận được đơn đăng ký từ bốn dự án, nhưng chỉ có một dự án được chọn - bitaps (). Nhóm phân tích chuỗi khối của Bitcoin, Ethereum và các loại tiền điện tử thay thế khác, xử lý thanh toán và phát triển ví tiền điện tử.
Một vài ngày trước khi cuộc thi bắt đầu, những người tham gia nhận được quyền truy cập từ xa vào cơ sở hạ tầng trò chơi để cài đặt ứng dụng của họ (ứng dụng được lưu trữ trong phân khúc không được bảo vệ). Tại The Standoff, những kẻ tấn công, ngoài cơ sở hạ tầng của thành phố ảo, còn phải tấn công ứng dụng và viết báo cáo tiền thưởng lỗi về các lỗ hổng được tìm thấy. Sau khi ban tổ chức xác nhận có lỗi, nhà phát triển có thể sửa chúng nếu muốn. Đối với tất cả các lỗ hổng đã được xác nhận, nhóm tấn công đã nhận được phần thưởng công khai (đơn vị tiền tệ trong trò chơi The Standoff) và nhóm phát triển đã bị phạt.
Ngoài ra, theo điều kiện của cuộc thi, ban tổ chức có thể đặt ra nhiệm vụ cho người tham gia để cải thiện ứng dụng: điều quan trọng là phải triển khai chức năng mới mà không mắc những sai sót có thể ảnh hưởng đến tính bảo mật của dịch vụ. Đối với mỗi phút vận hành chính xác của ứng dụng và thực hiện các cải tiến, các nhà phát triển đã được trao tặng các quỹ công quý giá. Nếu một lỗ hổng được tìm thấy trong dự án, cũng như mỗi phút ứng dụng ngừng hoạt động hoặc hoạt động không chính xác, chúng sẽ bị xóa. Điều này được robot của chúng tôi giám sát chặt chẽ: nếu chúng phát hiện ra sự cố, chúng tôi sẽ báo cáo vấn đề đó cho nhóm bitaps, cho họ cơ hội khắc phục sự cố. Nếu nó không được loại bỏ, nó sẽ dẫn đến thua lỗ. Mọi thứ đều giống như trong cuộc sống!
Vào ngày đầu tiên của cuộc thi, những kẻ tấn công đã thử nghiệm dịch vụ. Đến cuối ngày, chúng tôi chỉ nhận được một số báo cáo về các lỗ hổng nhỏ trong ứng dụng mà những người từ bitaps đã kịp thời sửa chữa. Khoảng 23 giờ đêm, khi những người tham gia đã sắp chán thì họ nhận được đề nghị cải tiến phần mềm từ chúng tôi. Nhiệm vụ không hề dễ dàng. Dựa trên quá trình xử lý thanh toán có sẵn trong ứng dụng, cần phải triển khai dịch vụ cho phép chuyển mã thông báo giữa hai ví bằng liên kết. Người gửi thanh toán - người sử dụng dịch vụ - phải nhập số tiền trên một trang đặc biệt và cho biết mật khẩu cho việc chuyển khoản này. Hệ thống phải tạo một liên kết duy nhất được gửi đến người nhận thanh toán. Người nhận mở liên kết, nhập mật khẩu chuyển khoản và cho biết ví của mình để nhận số tiền.
Nhận nhiệm vụ xong, các anh em hăng hái lên, đến 4h sáng dịch vụ chuyển token qua link đã sẵn sàng. Những kẻ tấn công đã không để chúng tôi phải chờ đợi và trong vòng vài giờ đã phát hiện ra một lỗ hổng XSS nhỏ trong dịch vụ đã tạo và báo cáo cho chúng tôi. Chúng tôi đã kiểm tra và xác nhận tính khả dụng của nó. Nhóm phát triển đã sửa nó thành công.
Sang ngày thứ hai, hacker tập trung sự chú ý vào phân khúc văn phòng của thành phố ảo nên không còn đợt tấn công nào vào ứng dụng, các nhà phát triển cuối cùng cũng được nghỉ ngơi sau một đêm mất ngủ.
Khi kết thúc cuộc thi kéo dài hai ngày, chúng tôi đã trao những giải thưởng đáng nhớ cho dự án bitaps.
Như những người tham gia đã thừa nhận sau trận đấu, hackathon cho phép họ kiểm tra sức mạnh của ứng dụng và xác nhận mức độ bảo mật cao của nó. “Tham gia hackathon là cơ hội tuyệt vời để kiểm tra dự án của bạn về tính bảo mật và đạt được kiến thức chuyên môn về chất lượng mã. Chúng tôi rất vui mừng: chúng tôi đã chống lại được sự tấn công dữ dội của những kẻ tấn công, - chia sẻ ấn tượng của mình thành viên của nhóm phát triển bitaps Alexey Karpov. - Đó là một trải nghiệm bất thường vì chúng tôi phải tinh chỉnh ứng dụng trong một tình huống căng thẳng để đạt được tốc độ. Bạn cần viết mã chất lượng cao, đồng thời có nguy cơ mắc lỗi cao. Trong những điều kiện như vậy, bạn bắt đầu sử dụng tất cả các kỹ năng của mình.".
Chúng tôi dự định tổ chức hackathon một lần nữa vào năm tới. Theo dõi tin tức!
Nguồn: www.habr.com