最新动态
【微VqiChen信】
2021 年澳洲某大学 API 未授权访问漏洞
发布时间:2025-03-25 00:44:27 浏览次数:212
2021年,某澳洲大学的移动端成绩查询API因未正确验证用户权限,导致黑客通过构造HTTP请求批量修改成绩。
入侵过程分析
1. 漏洞发现:
- 攻击者使用Burp Suite抓包,发现查询成绩的API端点(如 `/api/grades?student_id=123`)。
尝试将GET请求改为PUT/POST,发现可直接提交修改请求(如 `{"score": 95}`)。
2. 批量篡改:
攻击者编写脚本自动遍历学号,修改大量成绩记录。
由于API无限流,短时间内发起数千次请求。
安全防护缺陷
API未做身份验证,允许未授权访问。
未实施速率限制,导致自动化攻击未被拦截。
无操作日志,无法追溯攻击来源。
相关新闻
怎么判断国外院校是否可以通过认证?
2024-08-14 21:06:13
在做出重要选择之际,我们诚挚地建议您广泛参考来自全球多国教育管理机构、权威质量认证机构以及各大院校官方网站发布的最新、最全面的信息,以确保决策的审慎性与科学性。本中心所出具的每一份国(境)外学历学位认证报告,均严格遵循国...
学历认证(留信网可查 包成绩单毕业证)国外学历认证办理
2024-08-16 12:26:21
**学历认证一站式服务指南** 在全球化日益加深的今天,留学与海外工作已成为许多人拓宽视野、提升自我的重要途径。然而,回国后如何高效、便捷地完成学历认证,确保您的海外学习成果得到国内权威认可,是每位归国学子必须面对...
留学美国I-20被取消怎么恢复?
2024-08-17 01:05:45
I-20表格是一份由美国国土安全部(Department of Homeland Security, DHS)正式授权的高等教育机构——诸如大学、学院及语言培训中心等——专为国际学生颁发的权威身份证明文件。此文件不仅承载...
