最新动态
【微VqiChen信】
2021 年澳洲某大学 API 未授权访问漏洞
发布时间:2025-03-25 00:44:27 浏览次数:97
2021年,某澳洲大学的移动端成绩查询API因未正确验证用户权限,导致黑客通过构造HTTP请求批量修改成绩。
入侵过程分析
1. 漏洞发现:
- 攻击者使用Burp Suite抓包,发现查询成绩的API端点(如 `/api/grades?student_id=123`)。
尝试将GET请求改为PUT/POST,发现可直接提交修改请求(如 `{"score": 95}`)。
2. 批量篡改:
攻击者编写脚本自动遍历学号,修改大量成绩记录。
由于API无限流,短时间内发起数千次请求。
安全防护缺陷
API未做身份验证,允许未授权访问。
未实施速率限制,导致自动化攻击未被拦截。
无操作日志,无法追溯攻击来源。
相关新闻
国外文凭使用电子版文凭证书申请国外学历认证吗?
2024-08-14 21:18:19
电子版证书,其法律效力与纸质版学位证书完全等同,可无缝衔接于各类认证申请流程之中。本中心秉持严谨细致的态度,将针对每一位申请人所提交的详尽材料进行深入且个性化的评估分析,确保认证过程的公正性与准确性。最终,认证结果将作为...
关于exam代考保分问题解析,exam替考
2024-08-16 14:19:16
**步骤一:零负担下单,极速响应** 从初次咨询到订单确认,我们致力于为您打造无缝对接的体验。只需与我们的专业客服团队轻松沟通,明确您的考试需求,随后即可享受一键在线下单的便捷。您需提供的,仅是详尽的考试详情及必要的...
教育部学历认证办理注意事项?
2024-08-31 10:41:45
国外学历认证 详尽指南与不可认证情形解析 在踏上 国外学历认证 的征途时,为确保您的申请顺畅无阻,特此精心整理了一系列注意事项及明确界定哪些情况将不被认可,助您一臂之力! 注意事项精要 1. **完...
