На PHDays завершился конкурс по анализу защищенности систем ДБО

В рамках конкурсной программы Positive Hack Days IV состоялось уже ставшее традиционным соревнование « Большой ку$h »: конкурсанты должны были искать уязвимости в системе ДБО.

Конкурс проходил в два этапа: сначала участникам для анализа были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе конкурса хакеры должны были за ограниченное время проэксплуатировать обнаруженные уязвимости и вывести из банка как можно больше денег.

Специально для конкурса «Большой ку$h» была разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в реальных банковских системах.

За один час участники должны были воспользоваться проблемами безопасности, обнаруженными на первом этапе соревнования, и перевести деньги из банка на свой счет. Всего система содержала 20 000 рублей.

В этом году хакерам удалось почти полностью опустошить счета виртуального банка. Всего было «украдено» почти 17 тысяч рублей. Хакеры могли не только выводить деньги из виртуального банка, но и атаковать счета друг друга (участники продемонстрировали примеры таких атак).

Победителем стал участник под ником d4d, которому удалось вывести из системы 9359,71 рублей, второе место занял Helm, похитивший чуть больше 6 тысяч рублей, а BigBear с 533 рублями стал третьим.