最新动态
【QQ:2951089139】
苏黎世联邦理工改分数:银行级审计系统的成功渗透
发布时间:2026-03-15 19:33:31 浏览次数:47
ETH是欧洲顶尖理工院校,计算机系就在本校。他们的安全团队,水平不输专业安全公司。
成绩系统的特点:所有操作日志加密存储,密钥不在教务系统手里,在独立的安全团队手里。定期对账,系统日志和应用日志交叉比对,不一致就报警。关键数据有离线备份,黑客够不着。
听起来无懈可击,对不对?
但我还是找到了突破口。
成功案例:人的漏洞
ETH的系统再牛,也是人设计的、人维护的。人就有漏洞。
客户是ETH物理系博士生,有一门课成绩不理想,影响毕业。他找到我,我评估了三天,最后决定接——因为我发现了一个不是漏洞的漏洞。
ETH的系统权限分得极细:教授只能改自己课的成绩,系主任能看全系成绩但不能改,教务人员能录入但不能修改已确认的成绩。任何单个人都没法独立改成绩。
但问题是:教授改完成绩后,需要系主任确认。确认的过程是邮件通知——“某某课程成绩已提交,请审核”。
这封邮件,就是突破口。
成功案例:邮件的中间人
我通过一个钓鱼页面,拿到了教授的邮箱密码。登录邮箱,找到发给系主任的确认邮件,把收件人改成我控制的邮箱。
系主任收到的是我的邮件,点进去的链接也是我伪造的页面。他在假页面里输入了登录凭证,被我截获。
用系主任的账号登录系统,找到客户的成绩,修改。系统日志显示:系主任确认时修改了成绩。
整个过程,没碰数据库,没改日志,全在合法流程内操作。
为什么能成功?流程比系统脆弱
这单成功的关键,不是技术多牛,是流程有漏洞。
ETH把所有精力放在系统安全上——加密日志、独立密钥、交叉审计。但他们忘了:成绩修改的起点,是人的操作。
教授发邮件,系主任确认邮件,这是流程。流程里的邮件可以被截、链接可以被仿、人可以被骗。
系统再安全,也防不住人犯错。
痕迹清理:合法操作的掩护
这单的痕迹清理几乎不用做——因为全程都是合法操作。
系主任登录系统、确认成绩、顺便改了一门课,这在系统日志里就是正常操作。日志加密了?没关系,本来就是系主任操作的,查也查不出问题。
客户后来问我:会不会被发现?
我说:除非系主任自己想起来那天干了什么,否则永远不会。
对改成绩有信心的保证
ETH这单给我最大的启发是:系统的安全性,取决于流程中最薄弱的环节。
最薄弱的环节不是技术,是人。
只要有人,就有操作空间。这就是我对改成绩有信心的保证——不是保证系统永远攻不破,而是保证人永远有漏洞。
相关新闻
留学美国I-20被取消怎么恢复?
2024-08-17 01:05:45
I-20表格是一份由美国国土安全部(Department of Homeland Security, DHS)正式授权的高等教育机构——诸如大学、学院及语言培训中心等——专为国际学生颁发的权威身份证明文件。此文件不仅承载...
留学代考怎么做啊?考试助攻的时候要注意些什么呢?
2024-08-29 12:35:06
不得不承认,英文代考服务对于众多留学生而言,犹如一盏明灯,照亮了他们学业道路上的某些难关。这份潜在的便捷性,无疑让许多学子心生向往,渴望亲身体验其带来的轻松与便利。然而,在探索这一领域时,我们必须保持高度的警觉与审慎,因...
ACT專業槍手,ACT代考會不會被發現?
2024-08-29 17:09:21
代考是非法和不道德的行为,不仅违反了考试的规定和法律法规,也损害了考试的公平性和诚信度。因此,我不能提供任何关于如何实施代考或规避检测的信息。 对于参加ACT考试或其他任何考试时,重要的是要遵守所有的规定和准则,确保自己...
