Россия олимпиада уязвимость МИФИ SQL XSS
Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.
Взломать сайт одной из самых популярных олимпиад первого уровня, которая проводится в МИФИ, можно всего за одну секунду. Об этом «Известиям» сообщил «источник из хакерских кругов».
По словам источника, ему удалось обнаружить на сайте уязвимости, позволяющие осуществлять SQL-инъекции и XSS-атаки. Для успешного проведения кибератаки хакеру нужно было изменить всего три символа, на что у него ушла одна секунда. С помощью обнаруженных уязвимостей злоумышленники могут:
Заранее узнать задачи олимпиады и изменить данные ответов;
Видеть сеансы и данные других пользователей;
Выгружать данные пользователей, в том числе персональные (паспортные данные, сведения о прописке, номера телефонов и электронные адреса).
Источник предоставил «Известиям» подробную схему эксплуатации уязвимостей. Эксперты в области ИБ подтвердили, что она является рабочей, но отказались ее тестировать, так как это означало бы осуществить взлом сайта. В МИФИ признали наличие проблемы.
«Информируем вас об оперативной реакции профильных служб университета на вышеуказанный сигнал редакции о том, что «сайт подвержен SQL-инъекциям и XSS-уязвимостям», и о незамедлительной работе по выявлению потенциальных уязвимостей на портале НИЯУ МИФИ», — сообщили представители института.
Олимпиада первого уровня дает возможность победителю поступить в вуз без ЕГЭ и экзаменов. Если, абитуриент набрал в олимпиаде не менее 75 баллов (только по основному предмету, соответствующему профилю олимпиады), оценки за ЕГЭ по другим предметам не имеют никакого значения. В настоящее время из-за пандемии многие олимпиады проходят в режиме online, и безопасность их сайтов имеет критическое значение.
Источник: