![](https://habrastorage.org/getpro/habr/post_images/d7b/15e/592/d7b15e5920598992772bc69bcdd28f42.jpg)
Для одного из конкурсов («Большой ку$h») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.
![](https://habrastorage.org/getpro/habr/post_images/06d/3e3/6db/06d3e36dbace26b69f82a70f308becad.png)
Участники конкурса должны были продемонстрировать свои знания и навыки в области эксплуатации типовых уязвимостей в службах систем ДБО. В нашем «защищенном» интернет-банке (максимально приближенном к реальному) находилась определенная сумма денег.
Хакеры должны были обнаружить уязвимости системы ДБО и на втором этапе конкурса в течение ограниченного времени воспользоваться ими для несанкционированного вывода денежных средств. Выведенная сумма в итоге доставалась победителю. После окончания соревнования хакеры могли обналичить призы в банкомате с помощью фирменных карточек PHDays (фотоотчет здесь).
![](https://habrastorage.org/storage2/07a/1ca/20e/07a1ca20e6b3b5cf602dad6cf91f94cf.png)
Однако это еще не все! Мы повторим этот конкурс, только теперь команды, участвующие в Positive Hack Days CTF, поработают над защитой систем ДБО (у них будет 4 часа на поиск и устранение уязвимостей), а проводить атаки будут пользователи сети Интернет в ходе соревнования Online HackQuest. 31 мая в 18:00 через VPN интернет-пользователи попадут в сеть CTF и начнут атаковать системы ДБО.
Используя уязвимости систем ДБО и осуществляя перевод денежных сумм со счетов участников CTF, вы сможете повлиять на рейтинг участвующих в PHDays CTF 2012 команд.
![](http://habrastorage.org/storage2/843/912/6b8/8439126b8a68d69b23e7a13df32711c2.jpg)
Тестовые системы ДБО доступны по следующим ссылкам:
Для вывода денежных средств вы можете использовать любой из четырех счетов:
- 91307430600804200281 — Anonymous;
- 91307430600372200346 — LulzSec;
- 91307430600128500473 — Offshore of Potato;
- 91307430600296700514 — International Fund for French Fries Welfare.
Повторите успехи участников конкурса «Большой ку$h»! Получите удовольствие от хакерского сражения с участниками CTF и «прокачайте» навыки обнаружения и использования типовых уязвимостей систем ДБО.
P. S. Напомним, что упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays 2012. Она НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.