Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Студенческий форум > МИФИческие хроники > (2021) Хакеры с легкостью взломали сайту МИФИ


Автор: VAL 20.01.2021 16:58
(2021) Хакеры с легкостью получили доступ к сайту МИФИ, позволяющему подделать результаты олимпиады первого уровня
Источники:
- https://versia.ru/xakery-s-legkostyu-poluchili-dostup-k-sajtu-mifi-pozvolyayushhemu-poddelat-rezultaty-olimpiady-pervogo-urovnya

QUOTE
В базах данных олимпиады для старшеклассников, обеспечивающей победителям поступление в вуз вне конкурса, обнаружились серьезные уязвимости: хакеры потратили на их взлом всего секунду, изменив в коде три символа. Такие бреши на сайте могут позволить заинтересованным лицам получить задания заблаговременно и менять данные ответов во время олимпиады – в этом случае обоснованность льгот для олимпиадников вызывает большие сомнения.


QUOTE
Три символа в коде

Национальный исследовательский ядерный университет «МИФИ» проводит одну из наиболее популярных среди старшеклассников предметных олимпиад первого уровня. Регистрация и участие доступны на портале org.mephi.ru, и, как оказалось, сайт был далеко не лучшим образом защищен от хакерских атак. ак сообщает газета «Известия» со ссылкой на собственный источник из кругов кибервзломщиков, для того, чтобы получить доступ к базам олимпиады первого уровня МИФИ, потребовалось поменять в коде всего три символа – это заняло ровно одну секунду. Источник уточнил, что на сайте были выявлены SQL-инъекции и XSS-уязвимости, позволяющие заранее ознакомиться с олимпиадными заданиями, менять данные ответов непосредственно во время олимпиады, просматривать сессии и данные других пользователей, а также осуществить массовую выгрузку пользовательских данных, в том числе, персональную информацию, включая номера телефонов, адреса электронных почтовых ящиков и паспортные данные.

Эксперты, с которыми издание проконсультировалось относительно возможности взлома сайта олимпиады МИФИ, подтвердили, что цепочка, описанная хакером, действительно может оказаться рабочей, а замена нескольких символов кода открывает доступ к персональным данным и дает возможность выгрузить задания.

Автор: VAL 20.01.2021 16:58
QUOTE
В МИФИ отреагировали на запрос издания, сначала сообщив, что уязвимостей обнаружено не было. Но впоследствии, после изучения описанного алгоритма взлома, в вузе признали наличие ошибок в коде и сообщили, что на портале начата работа по выявлению возможных уязвимостей.

На момент написания статьи сайт с олимпиадой не работает, на портале размещено предупреждение: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».

Источник: https://versia.ru/xakery-s-legkostyu-poluchili-dostup-k-sajtu-mifi-pozvolyayushhemu-poddelat-rezultaty-olimpiady-pervogo-urovnya

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)