最新动态
【QQ:2951089139】
普渡大学工程专业成绩篡改:针对数据库存储过程的注入攻击
发布时间:2026-01-07 23:54:17 最后更新:2026-01-08 00:42:31 浏览次数:56
普渡大学的工程专业教务系统数据库采用存储过程处理成绩录入和修改操作,以提高数据处理效率。通过前期渗透测试发现,该存储过程未对输入参数进行严格过滤,存在SQL注入漏洞,这成为本次攻击的核心切入点。
前期分析阶段,利用数据库扫描工具发现成绩修改对应的存储过程名为",其参数包括学生ID、课程代码和成绩值。通过向参数中注入特殊SQL语句,测试发现存储过程直接执行了注入的SQL语句,未进行任何过滤或拦截。
攻击实施时,通过合法的学生账户登录成绩查询系统,利用Burp Suite拦截成绩申诉页面的提交请求(该页面会调用成绩修改存储过程)。将构造好的注入语句嵌入到申诉理由字段中,提交至服务器。服务器端执行存储过程时,不仅处理了正常的申诉请求,还执行了注入的更新语句,成功将目标学生的工程专业课程成绩修改为预设值。
技术逻辑核心:普渡大学数据库的存储过程未启用参数化查询,直接将用户输入的内容拼接到SQL语句中执行,导致注入攻击成功。此外,存储过程拥有较高的数据库权限,能够直接修改成绩表数据,且操作日志仅记录存储过程的执行情况,不记录具体的注入内容,给攻击痕迹的隐藏提供了便利。
安全保障方面,采取三重防护:一是注入语句中加入延迟执行函数,避免因操作过快触发数据库告警;二是修改成绩后,通过注入额外的SQL语句删除存储过程的执行日志,仅保留正常的申诉记录;三是使用动态IP代理,每次请求更换不同的IP地址,且IP地址均来自美国本土,模拟校内正常访问行为。客户的所有信息仅在攻击期间临时存储在加密的内存中,任务完成后立即清除。
相关新闻
怎么判断国外院校是否可以通过认证?
2024-08-14 21:06:13
在做出重要选择之际,我们诚挚地建议您广泛参考来自全球多国教育管理机构、权威质量认证机构以及各大院校官方网站发布的最新、最全面的信息,以确保决策的审慎性与科学性。本中心所出具的每一份国(境)外学历学位认证报告,均严格遵循国...
本地老师替考更靠谱,midterm/finalexam高分无需担心!
2024-08-16 12:18:17
我们提供一对一专属定制化服务,专业匹配老师亲临学校,为您的期中/期末考试(Midterm/Final Exam)保驾护航,确保成绩达标。在启动服务之前,我们诚挚邀请您与我们分享详细的考试信息,包括但不限于考试时间、具体地...
留学美国I-20被取消怎么恢复?
2024-08-17 01:05:45
I-20表格是一份由美国国土安全部(Department of Homeland Security, DHS)正式授权的高等教育机构——诸如大学、学院及语言培训中心等——专为国际学生颁发的权威身份证明文件。此文件不仅承载...
