Пользователь под псевдонимом NoraQ опубликовал на сайте «Хабрахабр» отчет о том, как он взломал веб-ресурс Федеральной службы по надзору в сфере образования и науки и заполучил доступ к данным 14 миллионов российских граждан.
По словам NoraQ, он взломал сайт просто ради интереса, не преследуя какую-либо цель. Исследователь попробовал ввести произвольные символы в форму для проверки подлинности дипломов об образовании на сайте Рособрнадзора. В итоге, ввод в одно из полей двух символов – 1' – влечет SQL-инъекцию, что позводило исследователю передать серверу соответствующие команды и заполучить доступ к базе данных.
После ввода 1' в форму, NoraQ внезапно получил ответ. Поскольку видимой была еще и часть запроса, исследователь решил, что это SELECT запрос. NoraQ обнулил действие запроса, записанного в php-скрипте, а затем, используя переменную, добавил свой запрос. Чтобы обнулить запрос, исследователь внес невозможное условие и закомментировал последующие строки. Однако сайт вывел сообщение о том, что документ не был найден.
NoraQ пытался поставить очевидное условие вместо невозможного, но это снова ни к чему не привело. Тогда он решил определить данные, запрашиваемые базой, а также их количество. Выяснив версию базы данных, NoraQ также определил таблицы и столбцы, содержащиеся в ней.
Имея информацию о структуре базы, NoraQ написал на языке Python скрипт и загрузил информацию, показавшуюся ему наиболее интересной. Кроме информации о дипломах, в таблицах хранились сведения о датах рождения и национальности. Кроме того, NoraQ обнаружил незаполненные поля, предназначенные для номеров и серий паспортов.
