Студенческий форум -> (2021) Хакеры с легкостью взломали сайту МИФИ

Помощь

Поиск

Участники

Календарь

Новости

Учебные Материалы

ВАЛтест

Фотогалерея

Правила форума

Виртуальные тренажеры

Мемуары

Здравствуйте Гость ( Вход | Регистрация )

Выслать повторно письмо для активации

Студенческий форум -> Гостевая книга -> Хроники -> МИФИческие хроники

(2021) Хакеры с легкостью взломали сайту МИФИ, 20 января

Подписка на тему | Сообщить другу | Версия для печати

VAL

Дата 20.01.2021 16:58

Offline

Мэтр, проФАН любви... proFAN of love

Профиль
Группа: Администраторы
Сообщений: 37816
Пользователь №: 1
Регистрация: 6.03.2004

(2021) Хакеры с легкостью получили доступ к сайту МИФИ, позволяющему подделать результаты олимпиады первого уровня
Источники:
- https://versia.ru/xakery-s-legkostyu-poluch...pervogo-urovnya

QUOTE

В базах данных олимпиады для старшеклассников, обеспечивающей победителям поступление в вуз вне конкурса, обнаружились серьезные уязвимости: хакеры потратили на их взлом всего секунду, изменив в коде три символа. Такие бреши на сайте могут позволить заинтересованным лицам получить задания заблаговременно и менять данные ответов во время олимпиады – в этом случае обоснованность льгот для олимпиадников вызывает большие сомнения.

QUOTE

Три символа в коде

Национальный исследовательский ядерный университет «МИФИ» проводит одну из наиболее популярных среди старшеклассников предметных олимпиад первого уровня. Регистрация и участие доступны на портале org.mephi.ru, и, как оказалось, сайт был далеко не лучшим образом защищен от хакерских атак. ак сообщает газета «Известия» со ссылкой на собственный источник из кругов кибервзломщиков, для того, чтобы получить доступ к базам олимпиады первого уровня МИФИ, потребовалось поменять в коде всего три символа – это заняло ровно одну секунду. Источник уточнил, что на сайте были выявлены SQL-инъекции и XSS-уязвимости, позволяющие заранее ознакомиться с олимпиадными заданиями, менять данные ответов непосредственно во время олимпиады, просматривать сессии и данные других пользователей, а также осуществить массовую выгрузку пользовательских данных, в том числе, персональную информацию, включая номера телефонов, адреса электронных почтовых ящиков и паспортные данные.

Эксперты, с которыми издание проконсультировалось относительно возможности взлома сайта олимпиады МИФИ, подтвердили, что цепочка, описанная хакером, действительно может оказаться рабочей, а замена нескольких символов кода открывает доступ к персональным данным и дает возможность выгрузить задания.

--------------------

www.valinfo.ru
Всегда... Always....
Quod licet jovi, non licet bovi!

VAL

Дата 20.01.2021 16:58

Offline

Мэтр, проФАН любви... proFAN of love

Профиль
Группа: Администраторы
Сообщений: 37816
Пользователь №: 1
Регистрация: 6.03.2004

QUOTE

В МИФИ отреагировали на запрос издания, сначала сообщив, что уязвимостей обнаружено не было. Но впоследствии, после изучения описанного алгоритма взлома, в вузе признали наличие ошибок в коде и сообщили, что на портале начата работа по выявлению возможных уязвимостей.

На момент написания статьи сайт с олимпиадой не работает, на портале размещено предупреждение: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».

Источник: https://versia.ru/xakery-s-legkostyu-poluch...pervogo-urovnya

--------------------

www.valinfo.ru
Всегда... Always....
Quod licet jovi, non licet bovi!

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

0 Пользователей:

« Предыдущая тема | МИФИческие хроники | Следующая тема »

Powered by Invision Power Board(U) v1.3 Final © 2003 IPS, Inc.
Установка, модификация и поддержка:
Barsum | 1px Design Group & Xac | OппаRU форум