Хакеру NoraQ удалось с помощью SQL-инъекций получить доступ к базе данных ведомства.
В понедельник, 29 января, на сайте «Хабрахабр» появилась интересная публикация от имени пользователя под псевдонимом NoraQ. По его словам, ему удалось взломать сайт Федеральной службы по надзору в сфере образования и науки и получить доступ к данным 14 млн россиян.
Как сообщает NoraQ, взлом был осуществлен от нечего делать, и к нему привела случайность. Исследователь открыл на сайте Рособрнадзора форму для проверки подлинности дипломов об образовании и стал вводить в ее поля «всякую чепуху». Как оказалось, введение в одно из полей 1' приводит к SQL-инъекции, благодаря чему исследователь смог отправить на сервер соответствующие команды и получить доступ к базе данных.
Когда NoraQ ввел в поле 1', то неожиданно для себя получил ответ. Так как была видна еще и часть запроса, исследователь предположил, что это SELECT запрос. NoraQ обнулил действие записанного в php-скрипте запроса, а потом с помощью переменной вставил свой. С целью обнулить запрос исследователь добавил невозможное условие и закомментировал его последующие строки. Тем не менее, пришло сообщение о том, что документ не найден.
NoraQ попытался вместо невозможного условия поставить очевидное, но снова безуспешно. Тогда он решил определить запрашиваемые БД данные и их количество. Узнав систему и версию базы данных, исследователь также определил содержащиеся в ней таблицы и столбцы.
Зная структуру БД, NoraQ написал скрипт на Python и скачал самые интересные на его взгляд данные. Помимо сведений о дипломах, таблицы содержали данные по датам рождения и национальности. Также были обнаружены поля для номеров и серий паспортов, однако они оказались незаполненными.
Большой взрыв знаний каждый день в вашем телефоне