Сегодня речь пойдет об уникальном случае, когда ужасно глупая ошибка породила выгодный бизнес и осчастливила сотни школьников в Москве.
О чем речь?
Для начала, проясню что такое МЭШ и почему мы вообще о нем говорим. МЭШ — Московская Электронная Школа. Электронный журнал для всех учеников г. Москвы.
Он очень удобный и приятный в использовании, особенно по сравнению с его собратом из области (в «Школьном портале» М.О. требуется заплатить денег за возможность просматривать домашнее задание и оценки в мобильном приложении).
ЦДЗ
Одной из главных фишек МЭШ можно назвать ЦДЗ(Цифровое Домашнее Задание). Это как привычная всем домашка, только в формате тестов на сайте или в приложении. Сами ученики раньше очень любили этот вид работы, так как он был максимально легким.
ЦДЗ решалось буквально за секунды.
Многие знали о существовании ботов X и Y в Telegram, и активно ими пользовались. Суть была проста, заходишь в бота, кидаешь ссылку на свое ЦДЗ, profit. Бот присылал ответы на все задания кроме тех, что учителя проверяли вручную, но таких было крайне мало, ведь учителя брали задания из готовых банков, а на них были ответы.
Ответы на МЭШ ЦДЗ РЭШ SKYSMART 2022 БЕСПЛАТНО!
А как?
Интересно, как же так получилось, что эти боты брали ответы из, казалось бы, защищённой системы МЭШа? Неужели все было в открытом доступе?
Я решил разобраться в том, как же работали эти боты и сколько они зарабатывали.
Ужасно глупая ошибка ♂️
Немного погуглив, я нашел GitHub бота Y и тут же бросился его изучать.
Среди кучи кода самого ТГ бота я нашел ту самую библиотеку, делающую всю грязную работу.
Меня привлек странный метод auth
login = «» и password_hash2 = «»
Как так?! Пустой логин и пароль?
Неужели прям так ужасно?!
Оказалось, что разработчики оставили тестового юзера с целью правильного отображения frontend части сайта, однако зачем-то дали ему права на backend части.
Получается костыль.
Его и нашли школьники и быстро собрали на его основе систему, позволяющую им вытаскивать ответы с серверов.
Получается следующая схема.
1) Получаем доступ к тестовому юзеру
2) С его токеном выясняем какой тип и вариант у данного нам задания
3) Обращаемся на сервер за ответами
4) Из-за кривых настроек сервер отдаёт нам ответы
5) Отдаём их довольным школьникам
Как вы видите, все довольно просто. И данная уязвимость не требует почти никакого умения для эксплуатации.
МЭШ БОТ для TELEGRAM на PYTHON
Бизнес
Вернёмся к нашим ботам. Разработчики бота Y выложили свой код в открытый доступ и зарепортили уязвимость разработчикам. А вот с ботом X все сложнее.
Эти ребята решили сделать Premium Pro Plus Extra Deluxe подписку. Символическая цена за возможность быстрее решать задания и убрать лимит на кол-во заданий в день. Прекрасная сделка!
Дети собирали деньги всем классом, покупали подписку на бота и жили без забот о домашке.
Фикс
На данный момент этот метод не работает.
Тест юзера убрали, endpointы поменяли, дыру залатали.
Но бот X до сих пор работает и собирает деньги. Как они это делают мне не ясно, но осмелюсь предположить, что используется все та же проблема со вседозволенностью на стороне сервера. Только в этот раз им удалось получить данные от аккаунтов одного из завучей либо учителей, ведь их доступ к банкам заданий никак не ограничивается.
Итоги ✅
Дырка в системе максимально глупая и странная, не ожидал такого от МЭШ. Но было интересно порыться в исходном коде этого проекта и провести свое мини расследование.
TL;DR Школьники использовали уязвимость с тестовым юзером чтобы заработать денег и не решать домашнее задание 🙂
Спасибо за внимание, ещё увидимся!
Источник: habr.com
Где найти ответы на тесты МЭШ?
Где найти ответы на тесты ЦДЗ из Библиотеки МЭШ (Московская электронная школа)?
Как найти ответы на тесты МЭШ по биологии, алгебре, русскому и английскому языку, истории и географии?
Что за бот, который решает тесты МЭШ?
Как узнать правильные ответы на тесты?
комментировать
в избранное бонус
Sagav aha [66.3K]
2 года назад
В последнее время в поисковиках начали появляться рекламы различных сайтов с решебниками тестов с Московской электронной школы, от английского языка до биологии. К сожалению для учащихся, большинство из таких сайтов предлагали оплатить некоторую сумму для доступа, но гарантии, что там достоверные ответы — они не предоставляли. Рекомендую не верить таким сайтам, так как есть большой риск попасть на фейковые и фишинговые странички.
Вконтакте был популярный ресурс с ответами ЦДЗ, но неделю назад эту группу заблокировали ввиду того, что Яндекс стал активно бороться с ответами на школьные задачи в сети.
Поэтому если будете встречать подобного рода ссылки — советую обходить их стороной.
Если понадобится помощь по решению задач и заданий, лучше не искать ответы сразу на полный тест — их будут и дальше блокировать, а особенно затруднительные вопросы искать на проверенных сайтах без вирусов — большой вопрос, знания и подобные. На большом вопросе можно смотреть ответы без регистрации и просмотра видео как на знаниях. А при регистрации можно и задать условия задачи тут самостоятельно и получить ответ именно на нужное задание. Тут есть и ответы на задачи из учебников, и пошаговые решения.
По поводу бота homework helper и похожих — у них принцип работы такой же: вам нужно все равно будет вписать вопрос и ждать пока ответы даст кто-то из пользователей. С учетом того, что он не настолько популярен, как большой вопрос и знания, например, да и ответы там дают такие же самые люди — есть риск просто попасть впросак с неправильными ответами.
По математике и русскому языку уже много людей жалуются, что ответы, которые им предложил бот оказались выбранными наугад и неправильными. С таким же успехом вы можете так и сами отвечать. Кроме того, не все пользуются десктопной версией телеграма, где можно быстрее скопировать с Московской электронной школы условие. Поэтому я б не советовал пользоваться этим телеграм-ботом.
EasyЦДЗ бот заблокирован — у него нет зеркал, а все, что перевыпускается с этим названием — фейковое. Берегите свои деньги и пользуйтесь проверенными беспатными ресурсами
Источник: www.bolshoyvopros.ru
Статистика ВК сообщества «SolverBot | Бот для решения тестов МЭШ [ЦДЗ]»
Друзья, первая учебная неделя уже позади, мы возобновили работу по многочисленным просьбам. С эпидемиологической ситуацией пока не понятно, будет ли дистант — никто не знает. Учителям полюбились МЭШовские тесты, поэтому наш сервис будет актуален при любом исходе событий. Желаем вам удачного учебного года и пятерок.
25 2 0 ER 0.2545
️Если мы вам не ответили, проверьте подписку на сообщество и напишите еще раз ️
6 0 0 ER 0.0566
Появилось предложение создать общую беседу, где все смогут знакомиться, общаться, обсуждать что-либо и тд.♂ Как вам идея? Если будет много фидбека, сделаем!
Источник: borgi.ru