Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Хакеру NoraQ удалось с помощью SQL-инъекций получить доступ к базе данных ведомства.
В понедельник, 29 января, на сайте «Хабрахабр» появилась интересная публикация от имени пользователя под псевдонимом NoraQ. По его словам, емуудалосьвзломать сайт Федеральной службы по надзору в сфере образования и науки и получить доступ к данным 14 млн россиян.
Как сообщает NoraQ, взлом был осуществлен от нечего делать, и к нему привела случайность. Исследователь открыл на сайте Рособрнадзора форму для проверки подлинности дипломов об образовании и стал вводить в ее поля «всякую чепуху». Как оказалось, введение в одно из полей 1' приводит к SQL-инъекции, благодаря чему исследователь смог отправить на сервер соответствующие команды и получить доступ к базе данных.
Когда NoraQ ввел в поле 1', то неожиданно для себя получил ответ. Так как была видна еще и часть запроса, исследователь предположил, что это SELECT запрос. NoraQ обнулил действие записанного в php-скрипте запроса, а потом с помощью переменной вставил свой. С целью обнулить запрос исследователь добавил невозможное условие и закомментировал его последующие строки. Тем не менее, пришло сообщение о том, что документ не найден.
NoraQ попытался вместо невозможного условия поставить очевидное, но снова безуспешно. Тогда он решил определить запрашиваемые БД данные и их количество. Узнав систему и версию базы данных, исследователь также определил содержащиеся в ней таблицы и столбцы.
Зная структуру БД, NoraQ написал скрипт на Python и скачал самые интересные на его взгляд данные. Помимо сведений о дипломах, таблицы содержали данные по датам рождения и национальности. Также были обнаружены поля для номеров и серий паспортов, однако они оказались незаполненными.