Вопросы безопасности в веб-технологиях → Взлом университета Сколково и «соседних» сайтов
Думал, что для освещения хватит записи в личном блоге/твиттере/вк, но не хватило. Тут главное — огласка, поэтому перепост.
Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...
Предыстория.
Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…
аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss
Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:
И вроде еще какие-то, уже не помню.
Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.
Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...
Предыстория.
Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…
аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss
Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:
- openu.ru — Открытый университет Сколково
- apply.openu.ru — Отбор студентов в Открытый университет Сколково
- eskolkovo.ru — ДО в Открытом университете Сколково
- blog.eskolkovo.ru — вроде уже тоже самое, что и openu.ru
- edu.opensingularity.ru — Открытый университет сингулярных технологий
И вроде еще какие-то, уже не помню.
Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.
Цель поста — быть на 100% уверенным, что после этой публикации данный скрипт приема студентов уберут навсегда
(хоть и с администратором мы немного поговорили на эту тему). Но чтобы как обычно не забылось, с мыслью — работает и ладно (как это бывает в СНГ), сделаем контрольный выстрел.Блог компании Microsoft → Открытая лекция Сэра Тони Хоара: «Величайшие идеи компьютерной науки»
Друзья, рады сообщить, что совсем скоро к нам приедет Сэр Тони Хоар (тот самый, который изобрел быструю сортировку и логику Хоара, исследовательская группа которого занималась языком Z спецификаций и параллельной моделью взаимодействия последовательных процессов, а сегодня — ведущий исследователь Microsoft Research в Кембридже).
В рамках «Открытого университета «Сколково» Тони Хоар выступит с лекций “Величайшие идеи компьютерной науки”.
Великие идеи — вне времени. Они неоднократно появляются в человеческой мысли, в разных мыслях и в различных формах. Ведущий исследователь Microsoft Research в Кембридже проследит особенно важные технологические идеи Древних Греков и озвучит философские вопросы, на которые ученые до сих пор не нашли ответов.
Лекция состоится: 25 июля в Политехническом музее (Москва).
Ссылка на регистрацию: msrus.timepad.ru/event/9735/cat_id=cat219