最新动态
【QQ:2951089139】
2021 年澳洲某大学 API 未授权访问漏洞
发布时间:2025-03-25 00:44:27 浏览次数:341
2021年,某澳洲大学的移动端成绩查询API因未正确验证用户权限,导致黑客通过构造HTTP请求批量修改成绩。
入侵过程分析
1. 漏洞发现:
- 攻击者使用Burp Suite抓包,发现查询成绩的API端点(如 `/api/grades?student_id=123`)。
尝试将GET请求改为PUT/POST,发现可直接提交修改请求(如 `{"score": 95}`)。
2. 批量篡改:
攻击者编写脚本自动遍历学号,修改大量成绩记录。
由于API无限流,短时间内发起数千次请求。
安全防护缺陷
API未做身份验证,允许未授权访问。
未实施速率限制,导致自动化攻击未被拦截。
无操作日志,无法追溯攻击来源。
相关新闻
参加GRE考试、托福考试等的学生如何才能找靠谱代考机构
2024-08-14 14:13:52
在甄选值得信赖的代考服务机构时,尤其是针对参与GRE在线考试、托福家庭版等高端学术测试的学生群体,他们尤为关注代考机构的专业深度与广度。这类学生不仅审视机构对特定领域如能源环境科学的理解程度,即便面对非直接专业相关的考试...
这是一本真正意义上的题库宝典,它将真题和模拟题完美融合在一起
2024-09-01 09:28:55
这个题库确实展现出了非凡的实力与深度,它不仅精心汇聚了历年来的真题,让考生能够直面实战,感受真实的考试氛围,还巧妙融合了高质量的模拟题,让备考过程更加全面且富有挑战性。这种真题与模拟题的无缝结合,不仅提升了备考的针对性和...
教育部学历认证,其实就是证明你的学历是真的。办理流程也挺简单
2024-09-01 18:02:20
在美国的高等教育体系中,学生毕业所需达成的标准极为严苛,这体现在诸如攻读学士学位通常需要累积120至128学分,乃至180至192学分不等的严格要求上,且要求所有必修课程顺利通过,同时维持一个令人满意的GPA成绩,方能荣...
