Хакатон “Злам банківських додатків”

development Nov 19, 2019
blog post image

Робочий тиждень пролетів майже непомітно. І ось настала довгождана субота 21.09.2019. Наша команда чекала її з нетерпінням, бо на цю дату ми запланували проведення хакатону. У ITOMYCH STUDIO ми часто проводимо хакатони, але цей принципово відрізнявся від усіх попередніх. Він був присвячений темі — “Злам банківських додатків”.

Ця тематика є найбільш актуальною для нас, адже fintech розробка — основний напрям роботи команди. З власного досвіду знаємо, що розробка банківських додатків — це багаторівневий і складний процес. Відповідальність за безпеку даних користувача лежить на кожному учаснику процесу. Все розпочинається з креативного product-owner-а, який відповідає за бізнес та функціональні вимоги до додатку. UI/UX - дизайнери втілюють у життя вимоги до дизайну продукту. Далі архітектори формують основну структуру системи — вони повинні врахувати не тільки функціональні, але і нефункціональні вимоги.

Розробники, в свою чергу, втілюють її у життя. А дбайлива команда QA-спеціалістів перевіряє, щоб все було реалізовано за планом та без недоліків. Кожен з учасників цього ланцюга розробки додатків повинен розуміти і усвідомлювати, яким шляхом додаток може бути зламаний.

Задля того, щоб хакатон пройшов максимально ефективно, за тиждень до заходу, фаундер ITOMYCH STUDIO Ігор Томич провів лекцію з основ безпеки та захисту інформації: “Проникнення до систем for fun and profit”. Це дало змогу учасникам хакатону поглибити знання з безпеки та функціонування систем в цілому. Також на лекції обговорили формат майбутнього хакатону.

У день заходу всі учасники зібралися у стінах офісу ITOMYCH STUDIO, отримали завдання та обговорили мету зустрічі.

Організатори обирали завдання хакатону, базуючись на інформації про найбільш поширені атаки під час злому додатків:

  • з точки зору отримання неавторизованого доступу до даних;
  • з точки зору несанкціонованих дій з банківськими аккаунтами і картами.

Звичайно, це не всі існуючі види атак, та це саме ті, які ми хотіли б випробувати. В результаті спільного обговорення було обрано 10 напрямів для дослідження. Серед них: робота з JWT, callbacks, SQL ін’єкції, перевірка ключів у додатку та ін. Особливу увагу приділили аналізу особливостяй роботи з інформаційним даними, які отримує мобільний додаток.

Additionally, paste this code immediately after the opening tag: