首次在 PHDays 9 上作为网络战的一部分 为开发人员举办了一场黑客马拉松。 当防御者和攻击者为城市控制权进行了两天的战斗时,开发人员必须更新预先编写和部署的应用程序,并确保它们在面对接二连三的攻击时顺利运行。 我们会告诉你结果如何。
只有作者提交的非商业项目才被接受参加黑客马拉松。 我们收到了四个项目的申请,但只有一个被选中 - bitaps ()。 该团队分析比特币、以太坊和其他替代加密货币的区块链,处理支付并开发加密货币钱包。
比赛开始前几天,参与者可以远程访问游戏基础设施来安装他们的应用程序(它托管在不受保护的段中)。 在对峙中,攻击者除了虚拟城市的基础设施外,还必须攻击应用程序并针对发现的漏洞编写错误赏金报告。 主办方确认存在错误后,开发商可以根据需要进行更正。 对于所有已确认的漏洞,攻击团队公开获得奖励(The Standoff 的游戏币),开发团队则被罚款。
此外,根据竞赛条款,组织者可以为参与者设置任务来改进应用程序:重要的是要实现新功能,而不犯会影响服务安全的错误。 对于应用程序的正确运行和实施改进的每一分钟,开发人员都获得了宝贵的公共资金。 如果在项目中发现漏洞,以及应用程序的每一分钟停机或不正确操作,它们都会被注销。 我们的机器人对此进行了密切监控:如果他们发现问题,我们会将其报告给 bitaps 团队,让他们有机会解决问题。 如果不消除,就会造成损失。 一切都像生活中一样!
比赛第一天,攻击者测试了该服务。 到当天结束时,我们只收到了一些有关应用程序中小漏洞的报告,bitaps 的人员立即修复了这些漏洞。 晚上23点左右,当参与者快要感到无聊时,他们收到了我们提出的改进软件的建议。 这项任务并不容易。 根据应用程序中可用的支付处理,有必要实现一项允许使用链接在两个钱包之间转移代币的服务。 付款的发送者(服务的用户)必须在特殊页面上输入金额并指明此转账的密码。 系统必须生成发送给收款人的唯一链接。 收件人打开链接,输入转账密码并指示他的钱包接收金额。
接到任务后,大家精神抖擞,凌晨四点,链接转账服务就准备好了。 攻击者并没有让我们等待,在几个小时内就在创建的服务中发现了一个轻微的 XSS 漏洞,并向我们报告了该漏洞。 我们检查并确认了其可用性。 开发团队成功修复了该问题。
第二天,黑客将注意力集中在虚拟城市的办公部分,因此应用程序不再受到攻击,开发者们终于可以从一个不眠之夜中得到休息。
在为期两天的比赛结束时,我们为 bitaps 项目颁发了令人难忘的奖项。
正如参与者在赛后承认的那样,黑客马拉松让他们能够测试应用程序的强度并确认其高安全性。 “参加黑客马拉松是测试项目安全性并获得代码质量专业知识的绝佳机会。 我们很高兴:我们成功地抵御了袭击者的猛攻, ——分享了他的印象 bitaps 开发团队 Alexey Karpov 的成员。 - 这是一次不寻常的经历,因为我们必须在压力很大的情况下改进应用程序以提高速度。 你需要编写高质量的代码,同时犯错误的风险很高。 在这种情况下,你开始使用你所有的技能。”.
我们计划明年再次举办黑客马拉松。 关注新闻!
来源: habr.com