Как школьники МЭШ взломали +72


Сегодня речь пойдет об уникальном случае, когда ужасно глупая ошибка породила выгодный бизнес и осчастливила сотни школьников в Москве.

О чем речь?

Для начала, проясню что такое МЭШ и почему мы вообще о нем говорим. МЭШ - Московская Электронная Школа. Электронный журнал для всех учеников г. Москвы.

Он очень удобный и приятный в использовании, особенно по сравнению с его собратом из области (в "Школьном портале" М.О. требуется заплатить денег за возможность просматривать домашнее задание и оценки в мобильном приложении).

ЦДЗ ????

Одной из главных фишек МЭШ можно назвать ЦДЗ(Цифровое Домашнее Задание). Это как привычная всем домашка, только в формате тестов на сайте или в приложении. Сами ученики раньше очень любили этот вид работы, так как он был максимально легким.
ЦДЗ решалось буквально за секунды.

Многие знали о существовании ботов X и Y в Telegram, и активно ими пользовались. Суть была проста, заходишь в бота, кидаешь ссылку на свое ЦДЗ, profit. Бот присылал ответы на все задания кроме тех, что учителя проверяли вручную, но таких было крайне мало, ведь учителя брали задания из готовых банков, а на них были ответы.

А как? ????

Интересно, как же так получилось, что эти боты брали ответы из, казалось бы, защищённой системы МЭШа? Неужели все было в открытом доступе?

Я решил разобраться в том, как же работали эти боты и сколько они зарабатывали.

Ужасно глупая ошибка ????‍♂️

Немного погуглив, я нашел GitHub бота Y и тут же бросился его изучать.

Среди кучи кода самого ТГ бота я нашел ту самую библиотеку, делающую всю грязную работу.

Меня привлек странный метод auth

Метод авторизации
Метод авторизации

login = "" и password_hash2 = ""

Как так?! Пустой логин и пароль?

Неужели прям так ужасно?!

Оказалось, что разработчики оставили тестового юзера с целью правильного отображения frontend части сайта, однако зачем-то дали ему права на backend части.

Получается костыль.

Его и нашли школьники и быстро собрали на его основе систему, позволяющую им вытаскивать ответы с серверов.

Способ получения ответов через testplayer
Способ получения ответов через testplayer

Получается следующая схема.
1) Получаем доступ к тестовому юзеру
2) С его токеном выясняем какой тип и вариант у данного нам задания
3) Обращаемся на сервер за ответами
4) Из-за кривых настроек сервер отдаёт нам ответы
5) Отдаём их довольным школьникам

Полная функция получения ответов
Полная функция получения ответов

Как вы видите, все довольно просто. И данная уязвимость не требует почти никакого умения для эксплуатации.

Бизнес ????

Вернёмся к нашим ботам. Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам. А вот с ботом X все сложнее.

Эти ребята решили сделать Premium Pro Plus Extra Deluxe подписку. Символическая цена за возможность быстрее решать задания и убрать лимит на кол-во заданий в день. Прекрасная сделка!

Дети собирали деньги всем классом, покупали подписку на бота и жили без забот о домашке.

Бот X
Бот X

Фикс ????

На данный момент этот метод не работает.

Тест юзера убрали, endpointы поменяли, дыру залатали.

Но бот X до сих пор работает и собирает деньги. Как они это делают мне не ясно, но осмелюсь предположить, что используется все та же проблема со вседозволенностью на стороне сервера. Только в этот раз им удалось получить данные от аккаунтов одного из завучей либо учителей, ведь их доступ к банкам заданий никак не ограничивается.

Итоги ✅

Дырка в системе максимально глупая и странная, не ожидал такого от МЭШ. Но было интересно порыться в исходном коде этого проекта и провести свое мини расследование.

TL;DR Школьники использовали уязвимость с тестовым юзером чтобы заработать денег и не решать домашнее задание :)

Спасибо за внимание, ещё увидимся!




Комментарии (91):

  1. Breathe_the_pressure
    /#24958662 / +9

    МЭШ ужасен, я не знаю кто его делал, но это очень странный сайт. Первый месяц он стабильно не работает. Периодически не открывается. Скачет между доменами school и dnevnik. Из-за рубежа не открывается через mos.ru, но если зайти через прямую ссылку dnevnik.mos.ru, то открывается.

    • mishailovic
      /#24959076 / +2

      С эжд всю жизнь был какой то головняк, у нас даже была такая шутка про то что их сервера на хомяках работают. Самые веселые дни были когда в Московских школах было дистанционное обучение и эжд задыхаясь от наплыва юзеров не мог генерировать ссылки на Microsoft teams. В один день даже сам себя на мысли поймал, что очное обучение менее геморно чем дистанционное (в таком формате)

    • vladimirad
      /#24959924 / +8

      Не открывается из за рубежа, потому, что московское правительство очень боится хакеров из за этих самых, как его, зарубежей.

      Вообще там все весело. Постоянная работа в ручном режиме. Постоянные "улучшения" "улучшений". Кроме этого, теперь оплату учителям подрезали, буквально в октября. Раньше за работу с МЭШ давали надбавку 10 тысяч и надбавку давала администрация. Теперь машина проверяет процент исполнения: внесение домашних заданий, учебных планов и т.д. По итогам идет выплата. В результате в октябре из из 96 человек выплату получили 14. Многие выполнили квест по заполнению учебных планов, причем неоднократно, так как заполнив планы, ты не можешь быть уверен, что, завтра после очередного улучшения журнала, они не слетят. Но! система считает что ты справился на 98 процентов и прощай выплата.

      • w0lf
        /#24960568

        Это не инициатива московского правительства, они только исполняет официальное требование министерства цифрового развития.

      • sshemol
        /#24963262

        Не открывается из за рубежа это гео IP фильтр от DDoS атак. То же с другими гос и около сайтами. Это появилось после событий.

        • vladimirad
          /#24964614 / +2

          Комментарий не читай! Сразу пиши. Стесняйся называть вещи своими именами, пиши обтекаемо - события. Покажи себя специалистом: гео IP фильтр...

        • Layan
          /#24965152

          Но как поможет такая защита от DDoS, если по прямой ссылке все открывается?

  2. Koioes
    /#24958680 / +17

    Facepalm.jpg

    Чему тут удивляться? И от чего больше офигевать: от того, что на одном из сайтов для государственных БЕСПЛАТНЫХ школ(а деньги на содержание идут из налогов граждан), нужно платить, чтобы посмотреть дз, или что другой сайт написан... Профессионально.

    • MaryRabinovich
      /#24959256 / +4

      Вроде, платить надо только за мобильную версию. Что тоже странно, но не окончательно дико. Только частично дико.

      Потому что платные кружки в бесплатных школах можно объяснить повышенными человеко-часами учителей. А тут что повышенное, не понятно. Один раз мобильный лейаут добавили, и вроде всё.

      • yaguarundi
        /#24960494 / +2

        Есть семьи, где нет компьютера, и ДЗ вынуждены смотреть только через телефон.

        • aPiks
          /#24960816

          Firefox mobile -> Вид для ПК ?

          • moscow_intelligent
            /#24960836

            Так и делали, но это ужасно неудобно. Сайт адаптирован под ПК и на телефоне все криво, косо а иногда вообще не работает

            • MTakeover
              /#24964982

              это точно сверстали для ПК и забыли(забили)

        • 6lives
          /#24960828

          открывать через мобильный браузер? с системой не знаком, но звучит как платный доступ к мобильному приложению

  3. StjarnornasFred
    /#24958804 / +19

    Похоже, мем "русские хакеры" слегка устарел, ему на смену пришли "московские школьники". Рад за свой город.

    • Chillingwilli
      /#24964984

      Город хакеров, да, но всё же минус в том, что такой популярности у этого мема пока нет.

  4. a1mir
    /#24958880 / +2

    Помню, ещё во времена введения дневник.ру году эдак в 2009ом подобрал пароль одного из учителей и ознакамливался с интересной доступной только им статистикой :)

  5. YungFlaeva
    /#24958890 / +2

    Вот что-что, а самом деле ожидаемо... Если так по-честному говорить, то mos.ru тоже массу проблем имеет, но там скорее про скорость работы сервисов. Сейчас в целом возросла необходимость как создавать новое ПО, так и улучшать старое. Возможно, в скором времени эти же московские школьники решат эту проблему. Только для начала в школах нужно выделить технологические классы и привлекать преподавателей по программированию вместо нынешних информатиков, которые учат открывать Word и калькулятор (опять-таки речь идёт о преподавателях в технологических классах; в общеобразовательных достаточно и примитивного умения пользования ПК). Разумеется, выделять ЗП для преподавателей-программистов будет дороже, но уверен, что всем, кто хочет перейти в условный технологический класс, будет интереснее проходить азы программирования и уже в 8-9 классах что-то знать и уметь.
    Слышал, что сейчас в московских школах открываются/открылись технологические классы и в целом развивается IT сфера среди школьников. Надеюсь, дойдёт и до других городов, и для многих интересующихся юных программистов уроки станут интереснее!

    • moscow_intelligent
      /#24958896 / +1

      Да, действительно открываются классы. Но они, мягко говоря, не очень. Популяризация IT среди молодежи это прекрасно! Но, опять же, это нужно делать грамотно.

    • neboxodov
      /#24961974

      Закончил школу в далеком 2005, и смотря сейчас на людей которые не знаю сочетание ctrl+f, и нумерацию в excel набивают через клавиатуру 1 2 3 ... n а не растягиванием, android называют броузером. Искренне недоумеваю, за чем нас на уроках информатики учили паскалю )))) А с тех пор как моя жена захотела войти в it и записалась на курс тестировщика, удивился когда не нашел нормальной книжки по основам компьютерной грамотности... А тут учителя программисты говорили они...
      А для популяризации программирования есть довольно много школ робототехники для тех кому это действительно интересно.

  6. mishailovic
    /#24959078 / +2

    К сожалению эжд не развивается и баги не чинятся. Скорее всего он был заказан у команды разработчиков на системе госзакупок как готовый продукт. Заказ сдали вместе с багами, а вот чинить их не кому к сожалению.

  7. AntonSor
    /#24959080 / +1

    Так держать :) Больше ИТ стартапов для школьников :) Даешь новых Илонов Масков в московских средних школах :)

    • tupenbor
      /#24959294 / +4

      Вы реально думаете что кто спишет ответы будут новыми Илонами Масками?

      • tempick
        /#24959450 / +3

        Ну как минимум, это не исключено

        • tupenbor
          /#24959460 / +1

          В той же степени как прилетит розовый единорог и сделает за вас уроки.

          • Chupaka
            /#24959868 / +4

            Т.е. 50%? Или прилетит, или не прилетит. К слову, сейчас, судя по статье, прилетает :)

      • RuSergO
        /#24959744 / +4

        По мне так - здесь мысль не в том, что они списали, а в том, что быстро сориентировались и использовали то, что по сути то им и оставили разрабы

  8. mordoorg
    /#24959742 / +4

    К сожалению, работая техником-программистом и учителем информатики в школе, могу с уверенностью заявить: электронный журнал - это словно башня дженга, в которой если хоть что-то поменяется, то всё сразу упадёт. Сам по себе, эл.журнал очень удобная вещь, но очень нестабильная и неустойчивая. Иногда упадёт, иногда лагает. В час пики (часа в 2-3) так вообще пиши-пропало.

    Буквально недавно случилась ситуация: в один прекрасный день, у четверти учителей в школе перестал логиниться их аккаунт. Сразу понял в чём проблема: логиниться перестало у тех, у кого на ноутбуках установлена WinXP. Написал в поддержку, где те ответили, что "знают о данной проблеме и сроков её решения пока нет" посоветовали сменить браузер (хотя я сразу всё протестил на Yandex, Mozilla и даже на древнем IE (со сменой протоколов и настроек)), или ждать решения проблемы и пользоваться Android-приложением.

    Уже прошло 2 месяца. Проблему так и не решили. И никаких новостей по ней нет.
    Сама идея того, что кто-то пустил по одному месту работу журнала на самой распространенной системе в учебных заведениях пугает. Ладно в школе где я работаю - тут ещё всё более менее хорошо с оборудованием, и всё переводится на Win10-11, но в других школах города и тем более в сельских - там скорее всего вовсе случился коллапс.

    • StjarnornasFred
      /#24959760 / +2

      По моим впечатлением - так сделана вся state-driven цифровизация образования, включая даже условно-коммерческое издательство "Просвещение".

      • borovinskiy
        /#24961666

        Просвещение - коммерческое издательство с оборотами (на память) 15 млрд.

        Оно условно негосударственное - контрольный пакет в руках компаний, контролируемых государством.

        Государство выгодно продало его лет 20 назад за 2 млрд., а недавно выгодно купило за условные 100 млрд. "на разницу и живут" успешные покупатели за 2.

    • IDDQDesnik
      /#24959832 / +8

      В операционной системе поддержка которой завершена 13 лет назад что-то не работает? Да неужели. И эти люди учат детей.

      • wellprog
        /#24959894 / +8

        А причем тут учитель позвольте спросить? или это он занимается внедрением оборудования? что есть на том учат. Меня больше удивляет как поделки неучей внедряются в жизнь. Как рождается это недоразумение под названиями "Электронный дневник", "Олимпиады" и прочее .... Такое ощущение что берут школьников и говорят надо сделать, поставлю 5 и потом на это в принудительном порядке подсаживают школы. И тут даже не качество реализации (в очень редких местах оно достойное), а просто в логике работы (последнее где я плевался - нужно было на очередном сайте по олимпиадам подкорректировать данные своих детей. Алгоритм следующий - заходим под учеткой родителя, сбрасываем пароль ребенка на свою почту, логинемся под ребенком, меняем данные школы, дальше по циклу по количеству детей. То есть возможность редактирование школы и класса есть у ребенка, но не у родителя или классного руководителя класссссс!)

        • flashmozzg
          /#24963698

          Тут проблема в том, что машинам на ХР вообще вызод в интернет разрешён, и почему в этих школах до сих пор ничего новее нет (даже семёрки, которая тоже уже не поддерживается). Так то где-то наверное и 98SE можно найти. Но это не к учителям вопросы.

      • kisskin
        /#24961504 / +4

        Какое мудрое замечание. А под вин11 эти люди будут во сколько раз учить детей лучше?

      • mordoorg
        /#24963720

        Есть такая вещь, как "финансирование" и "бюджет". И у образовательных учреждений он разный. Легко сидеть и говорить о том, что где-то что-то не работает, потому что старое. Что есть на том и работают в школах. Поэтому сидеть и удивляться тому, что за 13 лет так и не заменили все 100% компьютеров в каждой школе страны - бессмысленно. Где-то вовсе пластиковых окон нету до сих пор, и туалеты не туалеты, а дырка в полу.

        Чисто физически поставить Win10 на их старенький Lenovo с i3 380M 11 года я не смогу, в итоге и остаётся только сидеть и ждать альтернатив и финансирования. И так во всех школах.

    • sshemol
      /#24963282 / +2

      На ХР скорее всего не работает из за просроченных сертификатов или отстуствия "современных" алгоритмов в HTTPS.

  9. vtal007
    /#24959976 / +8

    Почему "школьники" взломали? уже поймали что ли?

    • Vindicar
      /#24960390 / +4

      Хороший вопрос, на самом деле. Мне что-то кажется, что не школьники, а неглупые взрослые люди, наверняка имеющие отношение к обслуживанию этой системы.

    • moscow_intelligent
      /#24960626 / -1

      Ошибку нашли школьники, библиотеку написали школьники, уязвимость починили разработчики МЭШ. Никто никого не ловил)

      • vtal007
        /#24960632 / +1

        Так откуда узнали кто нашел, кто написал библиотеку, если никого не поймали?

        • moscow_intelligent
          /#24960664 / -1

          Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам.

          Вот откуда :)

          • vtal007
            /#24960676 / +4

            А где в фразе "Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость" указание на школьников? Я вижу "разработчики бота". а кто именно "разработчики бота" не указано. Рептилойды с планеты Нибиру тоже вполне вариант

            Вы везде пишите про некоторых школьников. Но откуда Вы знаете кто все это писал (пусть и криво?) Вы папа одного из них?
            Чтобы однозначно знать, что это школьники, это надо быть либо близко знакомыми с этими взломщиками, либо присутствовать при явке с повинной (до суда наверно не дошло)

            • moscow_intelligent
              /#24960690 / +2

              Да не, рептилойдам такое не надо. Уязвимость нашли дети, библиотеку и бота написали они же. Я хотел взять интервью у авторов, но они отказались. Можете глянуть GitHub автора библиотеки, там указан его возраст

              • vtal007
                /#24960704 / +1

                Уязвимость нашли дети

                откуда инфа?

                Библиотеку и бота написали они же.

                откуда инфа? Почему не Вы?

                Где мне искать гитхаб?
                Все обвинение школьников строится на том, что Вы нашли гитхаб и там указан возраст одного (совсем одного) человека. Но при этом "школьники". А почем не школьник, тогда уж? Чтоб собственно мешает какому-нить питон-синьеру помочь своему сыну сдавать экзамены, выложив под его именем на гитхабе ?

                • moscow_intelligent
                  /#24960730 / +1

                  Выше есть комментарий со ссылкой на GitHub. В этом репозитории ответы на все ваши вопросы. Чуточку OSINTа и вы все найдете. Я уверен, у вас получится :)
                  Вопрос про python seniorа не очень понял, причем тут экзамены? Речь о библиотеке на гитхабе, как она поможет с экзаменами?

                  • vtal007
                    /#24960748 / +2

                    Выше есть комментарий со ссылкой на GitHub.

                    Нет такого комментария. Я даже код страницы посмотрел

                    Чуточку OSINTа и вы все найдете

                    Обязанность доказывать лежит на утверждающем. Мне то зачем искать. Это Вы пишете "школьники", а не я. Я просто спрашиваю "какие Ваши доказательства"

                    • moscow_intelligent
                      /#24960788 / -1

                      Да, коммента нет, странно, удалили видимо ¯_(ツ)_/¯
                      Я писал статью не с целью что-либо доказать, а с целью рассказать про случай. Да и никто не обязывал меня ничего доказывать :) Если вам интересна дальнейшая история и весь набор инфы по этому поводу, а не только выводы, можете написать мне, я скину все ссылки на которых искал информацию. Может даже свою статью напишете, лучше моей, я буду очень рад посмотреть!
                      Опять же, 3 минуты в гугле дадут вам ответы на все ваши вопросы. Очень жаль что удалили дискуссию выше, там человек возмущался по поводу красоты кода и речь шла о том, что код явно не сеньорский.

                      • vconst
                        /#24967386 / +1

                        Да и никто не обязывал меня ничего доказывать :)
                        Вообще-то вы сами обязали себя доказать это — назвав так статью и рассказывая в ней, что взлом осуществили школьники

  10. Bedal
    /#24960170 / +7

    Когда в Шотландии вводили нечто вроде удалённого ЕГЭ, результаты были парадоксальны: диктанты мальчиков оказались грамотнее, чем девочек.

    Оказалось, мальчики чаще догадывались включать в браузере проверку орфографии.

    • vtal007
      /#24960272

      в хроме, например, сразу подчеркивает. "пыва" например подчеркнуло

      • Bedal
        /#24960328

        В хроме по умолчанию включена проверка, делов-то. Отключаемо.

        И - это не прошедшим летом было.

  11. askv
    /#24960702 / +1

    Я ещё в докомпьютерную эпоху журнал хакнул. Можно было зайти в учительскую и поставить себе отметки о посещении практики, пока никого из учителей в комнате нет.

  12. mrkaban
    /#24960774

    Какие-то умные школьники получаются)) или им кто-то помогал.
    Скрипт на Python написали, и не просто ведь угадали логин \ пароль, а еще и в json данные туда-сюда.

    • moscow_intelligent
      /#24960792 / +4

      Это не так сложно, многие школьники которым интересно программирование учатся дополнительно во всяких школах. В некоторых даже есть курс по CTF и кибербезопасности, так что ничего в этом удивительного нет. Ребята молодцы!

      • mrkaban
        /#24960822

        Они безусловно молодцы! И курсы такие есть, но в школах Python не дают, к сожалению. Я это говорю к тому, что такие ребята в школах встречаются редко, но бывает. Либо у одного из них есть брат\друг, который и помог написать код за процент.

        • moscow_intelligent
          /#24960860

          Почему, в школах есть Python. В Москве точно, ЧУДО "Школа Программистов" в партнерстве с некоторыми школами преподает ребятам в 10/11 классах Python, networking и еще кучу других важных предметов. Но это скорее исключение, чем правило. Хотелось бы видеть такие инициативы почаще.

          • mrkaban
            /#24960886 / +1

            Это отдельные несколько школ, то есть в среднем количество таких школ на уровне погрешности. И это конечно же плохо, но речь не про это.

            • moscow_intelligent
              /#24960896

              Ну не все так плохо. Да и смысла в этом не так много. Мне кажется что было бы глупо вводить Python или любой другой ЯП в школе. Этому надо учиться на доп. занятиях. А вот рекламировать эти доп. занятия и делать их максимально доступными надо бы.

              • mrkaban
                /#24960942 / +3

                Меня в школе учили программировать на TurboPascal и я считаю, что вместо него лучше давать Python, но опять же, это всё будет нужно и интересно только отдельным ученикам.

                Он простой, а когда у них сразу начнет получаться - они заинтересуются, поймут некую логику программирования и начнут изучать глубже его или другой язык.

                Я всё это вёл к тому, что по России таких доп курсов мало и учеников, которые знают Python в общем счете мало. По крайней мере в Красноярске.

                • moscow_intelligent
                  /#24960956

                  Ну мне кажется это надо давать только тем, кому интересна информатика или программирование. Если я сдаю географию на ЕГЭ и иду на геолога, мне не очень нужен Python. А вот основы компьютерной грамотности полезны любому.

                  • mrkaban
                    /#24961002

                    у нас Pascal давали всем и все как-то сдали. Подробности не помню, давно дело было.

                • larasage
                  /#24961192 / +1

                  У меня сын сперва с питоном в кванториуме познакомился (хотя сам питон не давали, предполагалось, что дети его знают - я ему давал ссылку на онлайн-курс питона тогда), потом в школе проходили. До этого у них в школе был паскаль, сейчас плюсы. Да, маткласс лицея, но город - даже не миллионер (да и школа не первая в городе уже).

            • dkirienko
              /#24961154

              В целом вы ошибаетесь, в настоящий момент в Москве Python является самым распространённым языком в школах. Эпоха паскаля заканчивается.

              • mrkaban
                /#24963746

                Ключевое слово в Москве

                • dkirienko
                  /#24963804

                  На самом деле не только в Москве, а уже везде. Вот статистика по языка программирования на школьном этапе всероссийской олимпиады школьников по информатике по регионам в 2021 году:

                  Если хотите файл в формате Excel, нужно нажать на кнопку "Скачать", но и так числа видны.

                  https://u.pcloud.link/publink/show?code=XZeaGOXZ26yKjRrToi0Ydv5h1liLRHqCJQBy

                  Последним главным двигателем Python стал Яндекс-лицей.

                  • mrkaban
                    /#24963808

                    "всероссийской олимпиады школьников по информатике", что лишний раз подтверждает мои слова.

              • ferini
                /#24964990 / +1

                Слушайте, я по долгу службы постоянно отсматриваю код опен сорса и хочу сказать, что у ребят больно структурированный код, логичный и чистый. Либо они прям дарования, либо им помогали.

        • Koioes
          /#24964144 / +1

          Сейчас в школах и вправду активно внедряют питон, как минимум, в физмат Наверное, потому что Паскаль и его аналоги уже морально сильно устарели. Даже в учебниках был Паскаль или Питон. Действо было в Волгограде

    • shasoftX
      /#24961268 / +4

      Вообще из статьи непонятно откуда пришла информация что взломали школьники. Школьники пользовались ботом, но кто написал бота информации то нет.

      Если я правильно нашел репозиторий, то

      17 y.o. student, python/dart dev. founder of openSchool

      my name is Dmitriy and I'm a software developer. I'm from cold Russia, my best friends are bears, of course, i play balalaika and drink a lot of vodka :)

      • mrkaban
        /#24963930 / +1

        Вот вот, код явно не школьники писали, он слишком чистый и логичный для школьников. Даже с учетом наличия курсов по python у школьников, все равно слишком красивый код.

        • morijndael
          /#24966606 / -1

          Откуда такие выводы? В момент окончания школы магически выпадает тонна экспы в программировании? А до никак, ветка исследований закрыта?

          • mrkaban
            /#24967156

            Изучи внимательно репозиторий, а потом говори. И внимательно посмотри на профили и репозитории трех "школьников", которые это написали, и одного из них реально написано 17 лет, с учетом того когда это было опубликовано и PRO аккаунта другого, и третий тоже не лыком шит. Это не школьники, а студенты.

            • moscow_intelligent
              /#24967732

              Кейс, описанный в статье произошел достаточно давно, а люди имеют очень интересное свойство, взросление. Те, кто в 2020 были школьниками в 11 классе сейчас уже учатся в ВУЗе.

              • mrkaban
                /#24967742

                Так и репозиторий то когда был опубликован? 2020 год, открываем веб-архив и что видим? ту же надпись.
                Помимо этого он с 2020 участвует в "Developer Program Member" на Github и имеет 8 репозиториев. Для примера, "Virtual Bank system" на php, grabber-server на python, свои api на python.
                Ну и конечно же школьник добавил libmesh на pypi.

  13. Abysswalker94
    /#24960962

    Пусть им на ЕГЭ по информатике 100 поставят) А так, судя по всему, разработчики тоже школьники

    • moscow_intelligent
      /#24960982

      Ну 100 по информатике это перебор :) Однако, 5 по информатике они заслужили.

      А вот разработчики... Очень странно что в таком, казалось бы, серьезном сервисе такая глупая ошибка. Более того, ее долгое время не замечали, может кто-то успел этим воспользоваться до того как она была опубликована.

  14. IgorDuino
    /#24961150

    Мы тоже недавно нашли и пофиксили ошибку в лаборатории МЭШ. Там правда всё сильно менее критично. Фронт отправлял запрос на устаревший хост, а добавив 1 строчку в /etc/hosts мы стали единственными, у кого работала эта страница в дневнике

    • moscow_intelligent
      /#24961318

      Можно было просто модифицировать http header. /etc/hosts именно это и делает :)

      • IgorDuino
        /#24961340

        Во время исследования проблемы мы так и делали через Burp Proxy, но чтобы дать решение, которое смогли бы повторить все было потенциально 2 способа.

        JS расширение и /etc/hosts

        JS расширение отпало, потомучто запрос делал WASM, который мы не можем менять

      • pravic
        /#24964970 / +1

        /etc/hosts именно это и делает

        Пруф?

      • isBlaze
        /#24965598 / +1

        /etc/hosts не имеет никакого отношения к http заголовкам. он всего лишь дополняет системный резолвер. внося записи в этот файл Вы всего лишь указываете системе(и браузеру в том числе), на какой ip адрес отправлять запрос.

        • moscow_intelligent
          /#24965968

          Прошу прощения, ошибся. Отношения действительно никакого нет. Но по сути, проблему решает, просто другим способом. Моя вина, забыл :)

    • borovinskiy
      /#24961680

      Лабораторные МЭШ сделаны не безопасно, ага.

      Ну и там физиконовские на сервер Физикона обращаются типа с xAPI, но он видать не настроен.

      В общем, там Содом и Гоморра в этой МЭШ -)

  15. uis246
    /#24962074 / +1

    Когда я был в школе, я делал своё исследование МЭШа. Если коротко: можно обычным пользователем(школьником) получить ответы.

    Не уверен, что стоит об этом писать подробности, а то ещё и это прикроют.