Уязвимости на сайте олимпиады МИФИ позволяют хакеру стать победителем

Уязвимости на сайте олимпиады МИФИ позволяют хакеру стать победителем

Уязвимости на сайте олимпиады МИФИ позволяют хакеру стать победителем

На сайте org.mephi.ru найдены уязвимости, использование которых позволяет участнику олимпиады «Росатом» заранее получить задачи, изменять ответы, а также получить доступ к сессиям и данным других пользователей. В МИФИ признали наличие ошибок в коде, временно закрыли сайт и ведут работы по поиску и латанию других брешей на портале.

В этом году из-за COVID-19 физико-математическая олимпиада школьников проводится в МИФИ онлайн. Участие в этом состязании дает старшеклассникам шанс попасть в вуз без вступительных экзаменов.

Уязвимости, о которых стало известно «Известиям», классифицируются как «внедрение SQL-кода» (SQLi) и «межсайтовый скриптинг» (XSS). Взлом сайта МИФИ через их эксплойт теоретически позволяет хакеру изменить результаты олимпиады в свою пользу.

Атаку на org.mephi.ru через цепочку уязвимостей, которую эксперты признали рабочей, можно провести за одну секунду. Взломщику достаточно заменить всего три символа в коде, и он получит доступ ко всем персональным данным олимпиады, а также сможет выгрузить задания.

Причиной появления уязвимостей SQLi и XSS обычно является неадекватная проверка / санация данных, вводимых пользователем. К сожалению, такие ошибки в проектах до сих пор широко распространены.

«При разработке сайтов и приложений вопросы безопасности, увы, всегда на втором плане, — сетует глава ИБ-отдела «СёрчИнформ» Алексей Дрозд, комментируя находку для «Известий». — В первую очередь стоит вопрос функциональности. И хотя принцип secure by design часто декларируется разработчиками, на деле реализуется в лучшем случае по остаточному принципу».

Вместе с тем эксперт считает, что риска массового использования этих уязвимостей нет. МИФИ же, скорее всего, понесет имиджевые потери.

Получив информацию о находках, ИБ-служба МИФИ подтвердила наличие ошибок в коде используемых проектов.

«Информируем вас об оперативной реакции профильных служб университета на вышеуказанный сигнал редакции о том, что “сайт подвержен SQL-инъекциям и XSS-уязвимостям”, и о незамедлительной работе по выявлению потенциальных уязвимостей на портале НИЯУ МИФИ», — пишет представитель вуза в ответ на запрос «Известий».

Уязвимый сайт МИФИ в настоящее время находится вне доступа. На странице-заглушке размещено следующее сообщение: «Уважаемые школьники! На сайте org.mephi.ru ведутся технические работы, сайт временно недоступен. Срок завершения предварительных туров олимпиад при необходимости будет продлен».

Сообщение в СИЗО — 35 рублей: в России запустили новый мессенджер

В России появился мессенджер для связи с людьми, которые находятся в СИЗО и исправительных учреждениях. Сервис называется «Точка контакта» и позволяет отправлять сообщения, фотографии, видео и голосовые записи. Правда, привычного написал и забыл здесь не будет, почти каждое действие оплачивается отдельно.

Электронное письмо объёмом до 2500 знаков стоит 35 рублей. Короткое текстовое сообщение до 200 знаков — 3,09 рубля.

 

За видеосообщение продолжительностью до 90 секунд просят 4,29 рубля, до 180 секунд — 7,99 рубля. Отправка одного голосового сообщения, по данным телеграм-канала «Банки, деньги, два офшора», обойдётся примерно в 7 рублей.

 

Сервис также предлагает платные подписки на контент. Один раздел по выбранной рубрике с постоянным обновлением стоит 99 рублей.

 

На сайте проекта говорится, что платформа должна помочь родственникам и близким поддерживать связь с человеком в СИЗО или колонии. В интерфейсе показаны обычные чаты с текстом, аудио, фотографиями и уведомлениями об оплате входящих сообщений.

Пока сервис обещают запустить во всех магазинах приложений. Детали о том, кто именно выступает оператором платформы, как проходит проверка сообщений и во всех ли учреждениях она будет доступна, не раскрываются.

Получился мессенджер с весьма буквальным тарифом на общение: хочешь написать близкому человеку — сначала посчитай символы.

RSS: Новости на портале Anti-Malware.ru