Добрая душа, пошёл сегодня в ХГУ, в сетевой отдел, дабы помочь ребятам убрать уязвимость с их сайта. Встретил меня один вежливый парень, который предложил присесть и подождать человека, который сайтом занимается.
Человек вскорости пришёл вместе с другими товарищами. Я показал уязвимость, после чего началась полемика по поводу того что ребята и не хотят, собственно, избавлять свой сайт от дырки.
Я пытался убедить, говоря что любой по-сути может слить дамп с их базы, что уязвимость позволяет залить шелл на сервер и получить доступ вообще ко всему, с чем этот сервер связан.
Эти глупые студентишки обозвали меня клоуном и не стесняясь заявили, что им «ПОФИГУ НА УЯЗВИМОСТЬ В САЙТЕ ХГУ». Представляете? Будущие специалисты не стесняясь заявляют, что им пофигу на информационную безопасность! Причём, речь идёт о самой простой уязвимости, которую только можно придумать — SQL-инъекция через метод GET. Устранить эту язвимость — дело пяти минут. Неужели они этими словами не порочат честь ИИТа и ХГУ? Ответ прост, разумеется: порочат. Их порадовало, что я пришёл сам и «нижайше прошу» их «смилостивиться» надо мной и позволить устранить уязвимость. Такие люди, такое отношение к профессии и делают весомый вклад в создание негативного мнения про ХГУ.
Если бы моё мнение о ХГУ складывалось бы только лишь из общения с этими «админами», которые «заботятся» о безопасности вверенной им сети и систем, то я бы предложил шапку сайта khsu.ru немного изменить:
Ребята мне ещё и сказать умудрились, что вообще тебе повезло, что мы добрые админы, а то сами бы базу удалили, а на тебя спихнули. В этой связи, учитывая косвенную угрозу в мой адрес, в случае официального обвинения меня в чём-либо, связанным с ХГУ, я тут же пишу заявление по поводу заведомо ложного доноса, сделанного с целью сокрытия настоящего преступника.
Я уверен, что сам Асеев ака Цезарь разговаривал бы со мной по-другому и мы бы пришли к совсем другому окончанию нашей беседы. Просто потому что он повзрослел уже и не видит необходимости доказывать что у него член длиннее. Ну и потому, что мне так кажется. Я вообще добродушный человек и легко мирюсь с людьми, прощая обиды, если вижу с их стороны то же желание помириться. А его претензия ко мне, в основном, обоснована тем, что я гоню на ИИТ и на ХГУ.
В этой связи я думаю, что необходимо прояснить моё отношение к ХГУ, в частности к ИИТу.
Во-первых, колледж, в котором я учился, относится к ХГУ. Я, в отличие от многих своих одногруппников и однокурсников, не считаю Колледж педагогического образования, информатики и права «шаражкой», я уверен и могу это доказать, что в КПОИиП благоприятная атмосфера для образования и самообразования. Атмосфера колледжа прекрасно сказывается и на нравственном развитии студентов. Есть конечно отдельные студенты-уёбки, но это результат того, что их родители в перестройку, за неимением нормального алкоголя, пили адеколон. Ещё у колледжа была проблема с преподавателями информционных дисциплин. Да, это было.
Эта же проблема относится и к ИИТу. Увы, отличного айтишника не заманишь преподавать за 11 тысяч студентам, которые в большинстве своём срать хотели на тебя, на учёбу и на всё прочее. Есть отдельные герои, но их мало. Кому-то удаётся совмещать перподавание в ХГУ с преподаванием в других учебных заведениях или вообще другой работой. Это тоже герои. Но суть даже не в зарплате, я вот о чём хотел сказать:
Любой преподаватель преподаёт прежде всего потому, что ему нравится процесс обучения своих студентов новому, само воспитание, помощь в формировании профессиональных навыков. Теперь вопрос: много ли в ХГУ, в частности на ИИТе учится студентов, которым надо узнавать что-то новое? Да единицы. Большинство волнует только как бы без напрягов преодорлеть сессию, а вечером пойти на брод поснимать тёлок. Некоторых и сессия даже не волнует. Я нигде не видел столько распиздяйства, как в ИИТе. Нигде!
Любой скажет, что это новое поколение, рождённое в перестроичный и постперестроичный период, мягко скажем, не удалось. Вот эта беда и обрушилась на ХГУ, в котором теперь процент аболтусов переваливает за 50, а ИИТ страдает ещё больше, потому что каждый аболтус видит себя охуевшим хакером, на деле ничего из себя не представляя ни в качестве хакера, ни в качесте дворника.
В итоге, у преподавателей большого стимула нет читать лекции в пустоту, распиздяи становятся лаборантаи, администраторами, постепенно всем на всё становится похуй.
Теперь моя позиция по поводу сайта и по поводу нахождения уязвимости.
Я нашёл уязвимость случайно, когда изучал сайт. Я проверил из чисто профессионального интереса является ли эта уязвимость критической. Да, она явлется таковой. Я опубликовал уязвимость, для того, чтобы, во-первых, уязвимость была устранена, во-вторых, для того, чтобы показать руководству ХГУ, что их сайт нуждается в редизайне и смене движка, поскольку сам обучался в ХГУ и забочусь о том, чтобы это учебное заведение выглядело достойно, в-третьих, предложить интересную заметку читателям моего блога. Я не получал доступ к данным, к которым доступа иметь не должен — мне эти данные попросту неинтересны. Я не изменял, не удалял, не портил, не изымал данные с сервера, на котором находится сайт ХГУ. Всё что я сделал — нашёл уязвимость и сообщил об этой уязвимости публично, как это делает великое множество людей на официальных форумах различных CMS, к примеру, с целью непосредственно сообщить об найденной уязвимости, чтобы эта уязвимость была скорейшим образом устранена. Я не думал, что сотрудники ХГУ настолько халатны в плане безопасности, что готовы даже в угоду своему самолюбию пренебречь желанием добровольца им помочь. Я думал, что уязвимость будет устранена сразу же.
Тким образом, если уязвимость не будет устранена к полудню понедельника, я официально обращусь к Швецу С.В., директору Института информатики и телематики ХГУ, а, если это не поможет, то к Сурвилло Г.С., ректору ХГУ с просьбой обратить внимание и распорядиться устранить уязвимость в официальном сайте Хакасского государственного университета. В этом деле я руководствуюсь своим гражданским долгом сообщить и содействовать в устранении уязвимости сайта ХГУ. Да, я добропорядочный граданин, кто таковым не является, может смеяться сколько его душе угодно, мне на это срать.
Пока всё.
Loading ...
