在PHDays 9中,开发人员黑客马拉松首次举行, 这是Standoff网络战的一部分。 在捍卫者和攻击者争夺城市控制权的两天中,开发人员必须更新预先编写和部署的应用程序,并确保其在一系列攻击下的流畅运行。 我们告诉它发生了什么。仅接受其作者提交的非营利项目参加黑客马拉松。 我们收到了来自四个项目的申请,但只有一个选择-bitaps(
bitaps.com )。 该团队致力于比特币区块链,以太坊和其他替代加密货币的分析,执行付款处理并开发一个加密货币钱包。
比赛开始前几天,参与者可以远程访问游戏基础设施以安装其应用程序(该应用程序位于不受保护的部分中)。 除了虚拟城市基础设施对象外,僵持型攻击者还应攻击应用程序,并针对发现的漏洞编写漏洞赏金报告。 组织者确认存在错误后,开发人员可以随意更正。 对于所有已确认的漏洞,攻击团队都会获得公开奖励(对峙游戏货币),开发团队也被罚款。
此外,根据比赛的条件,组织者可以将最终完成应用程序的任务指定给参与者:同时,重要的是要实现新功能,而不会犯任何影响服务安全性的错误。 对于应用程序正确运行的每一分钟以及改进的实施,开发人员都被授予了宝贵的受众。 如果在项目中以及每隔一分钟的应用程序停机或错误操作中发现漏洞,则将其注销。 我们的机器人密切注意:如果发现问题,我们会向bitaps团队报告此问题,使他们有机会解决问题。 如果不消除,将导致损失。 一切都如同生活!
在比赛的第一天,攻击者对服务进行了探测。 到今天结束时,我们只收到了一些有关该应用程序中较小漏洞的报告,这些漏洞很快就被人修复了。 在23点钟的某个地方,参与者将感到无聊时,他们收到了我们的报价,以定稿该软件。 这项任务并不容易。 基于该应用程序中可用的支付处理应用程序,有必要实施一项服务,该服务将允许通过引用在两个钱包之间转移令牌。 付款的发送者(服务的用户)必须在特殊页面上输入金额,并指明此转帐的密码。 系统必须生成发送给收款人的唯一链接。 收件人打开链接,输入转账密码,并指示他的钱包接收该金额。
收到任务后,伙计们恢复了活力,到凌晨4点,准备通过引用翻译令牌的服务已准备就绪。 攻击者没有让自己等待,几个小时后,在创建的服务中发现了一个较小的XSS漏洞,并通知了我们。 我们检查并确认其可用性。 开发团队成功消除了它。
第二天,黑客将注意力集中在虚拟城市的办公区域,因此不再对应用程序进行攻击,开发人员最终可以在不眠之夜安息。
根据为期两天的比赛的结果,我们为bitaps项目颁发了纪念奖。
正如参与者在赛后承认的那样,黑客马拉松使测试应用程序的强度和确认其高安全性成为可能。
参加hackathon是一个很好的机会来测试您的项目的安全性并获得代码质量的专家检查。 我们很高兴:我们设法抵御了攻击者的袭击, bitaps开发团队成员Alexey Karpov分享了他的印象
。 -
这是一次不寻常的经历,因为我们不得不在压力很大的情况下快速修改应用程序。 您需要编写高质量的代码,同时有很高的出错风险。 在这种情况下,您开始使用所有技能 。
”明年,我们计划再次举办黑客马拉松。 关注新闻!