Всем привет! Если помните, в этом году Positive Hack Days 12 предстал перед нами в новом формате: помимо традиционной закрытой зоны появилось доступное для всех публичное пространство — кибергород, где посетители узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах ИТ и ИБ. Неизменной частью киберфестиваля остались его конкурсы. Один из них — конкурс по поиску уязвимостей в онлайн-банке. Год назад мы захотели попробовать новый формат в виде Payment Village, но в этот раз решили вернуться к истокам — конкурсу $NATCH, применив новую концепцию! Белым хакерам мы предложили испытать на прочность созданную для конкурса банковскую экосистему (нет, последнее слово не оговорка, но об этом поговорим позже). Специалисты по информационной безопасности искали банковские (и не только) уязвимости в предоставленной системе и сдавали отчеты через багбаунти-платформу, затем организаторы оценивали найденные уязвимости и присваивали им соответствующий уровень опасности — мы хотели, чтобы участники почувствовали себя настоящими исследователями безопасности.
Под катом наш подробный рассказ о том, что из этого вышло, какие баги мы заложили в онлайн-банк в этом году, а какие были рождены нашими кривыми руками.
Структура, или Как все создавалось
В этот раз мы учли собственные ошибки, пожелания участников, приправили все это нашим видением развития конкурса и коренным образом переработали то, что было год назад. Очень хотелось дать возможность участникам «пощупать» не только «онлайн-банк в вебе и все», но и экосистему банка, похожую на реальную.
Помимо онлайн-банка, в банковскую экосистему конкурса $NATCH входили уязвимые мобильное приложение к нему, а также банкомат. Разборы заданий с ними можно прочитать здесь и тут.
А еще спешим напомнить, что всего лишь два дня осталось до начала Moscow Hacking Week. Такого вы еще точно не видели, так что отмечайте дни в календаре и вовремя включайте трансляции.