首次在 PHDays 9 上作為網路戰的一部分 為開發人員舉辦了一場黑客馬拉松。 當防御者和攻擊者為城市控制權進行了兩天的戰鬥時,開發人員必須更新預先編寫和部署的應用程序,並確保它們在面對接二連三的攻擊時順利運行。 我們會告訴你結果如何。
只有作者提交的非商業專案才被接受參加黑客馬拉松。 我們收到了四個項目的申請,但只有一個被選中 - bitaps ()。 該團隊分析比特幣、以太坊和其他替代加密貨幣的區塊鏈,處理付款並開發加密貨幣錢包。
在比賽開始前幾天,參與者可以遠端存取遊戲基礎設施來安裝他們的應用程式(它託管在不受保護的段落中)。 在對峙中,攻擊者除了虛擬城市的基礎設施外,還必須攻擊應用程式並針對發現的漏洞編寫錯誤賞金報告。 主辦方確認有錯誤後,開發商可以根據需要進行更正。 對於所有已確認的漏洞,攻擊團隊公開獲得獎勵(The Standoff 的遊戲幣),開發團隊則被罰款。
此外,根據競賽條款,組織者可以為參與者設定任務來改進應用程式:重要的是要實現新功能,而不犯會影響服務安全的錯誤。 對於應用程式的正確運作和實施改進的每一分鐘,開發人員都獲得了寶貴的公共資金。 如果在專案中發現漏洞,以及應用程式的每一分鐘停機或不正確操作,它們都會被註銷。 我們的機器人對此進行了密切監控:如果他們發現問題,我們會將其報告給 bitaps 團隊,讓他們有機會解決問題。 如果不消除,就會造成損失。 一切都像生活中一樣!
比賽第一天,攻擊者測試了該服務。 到當天結束時,我們只收到了一些有關應用程式中小漏洞的報告,bitaps 的人員立即修復了這些漏洞。 晚上23點左右,當參與者快要感到無聊時,他們收到了我們提出的改進軟體的建議。 這項任務並不容易。 根據應用程式中可用的支付處理,有必要實現一項允許使用連結在兩個錢包之間轉移代幣的服務。 付款的發送者(服務的使用者)必須在特殊頁面上輸入金額並指明此轉帳的密碼。 系統必須產生發送給收款人的唯一連結。 收件人打開鏈接,輸入轉帳密碼並指示他的錢包接收金額。
接到任務後,大家精神抖擻,凌晨四點,連結轉帳服務就準備好了。 攻擊者並沒有讓我們等待,在幾個小時內就在創建的服務中發現了一個輕微的 XSS 漏洞,並向我們報告了該漏洞。 我們檢查並確認了其可用性。 開發團隊成功修復了這個問題。
第二天,駭客將注意力集中在虛擬城市的辦公部分,因此應用程式不再受到攻擊,開發者終於可以從一個不眠之夜中得到休息。
在為期兩天的比賽結束時,我們為 bitaps 計畫頒發了令人難忘的獎項。
正如參與者在賽後承認的那樣,黑客馬拉松讓他們能夠測試應用程式的強度並確認其高安全性。 「參加黑客馬拉松是測試專案安全性並獲得程式碼品質專業知識的絕佳機會。 我們很高興:我們成功地抵禦了襲擊者的猛攻, ——分享了他的印象 bitaps 開發團隊 Alexey Karpov 的成員。 - 這是一次不尋常的經歷,因為我們必須在壓力很大的情況下改進應用程式以提高速度。 你需要編寫高品質的程式碼,同時犯錯的風險很高。 在這種情況下,你開始使用你所有的技能。”.
我們計劃明年再次舉辦黑客馬拉松。 關注新聞!
來源: www.habr.com