Untuk PHDays 9, hackathon untuk pengembang diadakan untuk pertama kalinya sebagai bagian dari pertempuran dunia maya The Standoff . Sementara para pembela dan penyerang selama dua hari berjuang untuk menguasai kota, para pengembang harus memperbarui aplikasi yang telah ditulis dan disebarkan, serta memastikan operasi mereka yang lancar di bawah kesibukan serangan. Kami memberi tahu apa yang terjadi.Hanya proyek nirlaba yang diajukan oleh penulisnya yang diterima untuk berpartisipasi dalam hackathon. Kami menerima aplikasi dari empat proyek, tetapi hanya ada satu pilihan - bitaps (
bitaps.com ). Tim ini terlibat dalam analisis blockchain Bitcoin, Ethereum dan cryptocurrency alternatif lainnya, melakukan pemrosesan pembayaran dan mengembangkan dompet cryptocurrency.
Beberapa hari sebelum dimulainya kompetisi, peserta menerima akses jarak jauh ke infrastruktur game untuk menginstal aplikasi mereka (ditempatkan di segmen yang tidak terlindungi). Penyerang Standoff, di samping objek infrastruktur kota virtual, seharusnya menyerang aplikasi dan menulis laporan bug bug pada kerentanan yang ditemukan. Setelah penyelenggara mengonfirmasi adanya kesalahan, pengembang dapat memperbaikinya sesuka hati. Untuk semua kerentanan yang dikonfirmasi, tim penyerang menerima hadiah di depan umum (Mata uang permainan Standoff), dan tim pengembangan didenda.
Juga, sesuai dengan kondisi kompetisi, penyelenggara dapat mengatur para peserta tugas menyelesaikan aplikasi: pada saat yang sama, penting untuk menerapkan fungsi baru tanpa membuat kesalahan yang mempengaruhi keamanan layanan. Untuk setiap menit pengoperasian aplikasi yang benar dan untuk implementasi peningkatan, pengembang diberikan audiensi yang berharga. Jika kerentanan ditemukan dalam proyek, serta untuk setiap menit downtime aplikasi atau operasi yang salah, mereka dihapuskan. Robot kami memperhatikan ini dengan cermat: jika mereka mendeteksi masalah, kami melaporkan ini ke tim bitaps, memberi mereka kesempatan untuk memperbaiki masalah. Jika tidak dihilangkan, ini menyebabkan kerugian. Semuanya seperti dalam hidup!
Pada hari pertama kompetisi, penyerang memeriksa layanan tersebut. Pada akhir hari, kami hanya menerima beberapa laporan kerentanan minor dalam aplikasi, yang dengan cepat diperbaiki oleh orang-orang dari bitaps. Di suatu tempat pada pukul 23:00, ketika para peserta akan bosan, mereka menerima tawaran dari kami untuk menyelesaikan perangkat lunak. Tugas itu tidak mudah. Itu perlu, berdasarkan aplikasi pemrosesan pembayaran yang tersedia dalam aplikasi, untuk mengimplementasikan layanan yang akan memungkinkan mentransfer token antara dua dompet dengan referensi. Pengirim pembayaran - pengguna layanan - harus memasukkan jumlah pada halaman khusus dan menunjukkan kata sandi untuk transfer ini. Sistem harus menghasilkan tautan unik yang dikirim ke penerima pembayaran. Penerima membuka tautan, memasukkan kata sandi untuk transfer dan menunjukkan dompetnya untuk menerima jumlahnya.
Setelah menerima tugas, orang-orang itu hidup kembali, dan pada jam 4 pagi layanan untuk menerjemahkan token dengan referensi sudah siap. Para penyerang tidak membuat diri mereka menunggu dan setelah beberapa jam menemukan kerentanan XSS kecil dalam layanan yang dibuat dan memberi tahu kami tentang hal itu. Kami memeriksa dan mengkonfirmasi ketersediaannya. Tim pengembang berhasil menghilangkannya.
Pada hari kedua, peretas fokus pada segmen kantor kota virtual, sehingga tidak ada lagi serangan pada aplikasi, dan para pengembang akhirnya bisa beristirahat dari malam tanpa tidur.
Mengikuti hasil kompetisi dua hari, kami mempersembahkan hadiah peringatan untuk proyek bitaps.
Sebagai peserta mengakui setelah pertandingan, hackathon memungkinkan untuk menguji kekuatan aplikasi dan mengkonfirmasi tingkat keamanan yang tinggi.
“Partisipasi dalam hackathon adalah peluang besar untuk menguji keamanan proyek Anda dan mendapatkan pemeriksaan ahli tentang kualitas kode. Kami senang: kami berhasil menahan serangan para penyerang, -
Alexey Karpov, anggota tim pengembangan bitaps , membagikan kesan-kesannya
. -
Itu adalah pengalaman yang tidak biasa, karena kami harus memodifikasi aplikasi dalam situasi penuh tekanan, dengan cepat. Anda perlu menulis kode berkualitas tinggi, dan pada saat yang sama ada risiko kesalahan yang tinggi. Dalam keadaan seperti itu, Anda mulai menggunakan semua keterampilan Anda .
"Tahun depan kami berencana mengadakan hackathon lagi. Ikuti beritanya!