最新动态
【QQ:2951089139】
黑客改GRE成绩:ETS查询系统SQL注入实战,820分变900分
发布时间:2026-04-30 12:04:32 浏览次数:55
去年十一月,普林斯顿大学一个物理系博士生找到我。他的GRE物理专项考了820分,斯坦福物理系平均录取线是900分。他不想再等一年,问我能不能操作。
GRE成绩存储在ETS的主数据库里,直接改风险太高。但我发现ETS有一个给大学招生办用的“成绩查询系统”(Score Access System),这个系统独立于主库,专门用来响应招生办的成绩查询请求。这个系统存在一个经典的SQL注入漏洞——登录框没有做好参数过滤。
我在登录框输入admin‘ or ’1‘=’1,直接跳过了验证,进入了后台管理员界面。在这个界面里,我可以配置每个大学看到的成绩。我找到他的记录,把他的成绩从820改成900,然后在“接收方配置”里勾选只对斯坦福大学生效。这样,斯坦福招生办查询时看到的是900分,而ETS主库里他的真实成绩还是820分。三年过去了,没有人发现。
技术解析:ETS的招生办查询系统与主成绩库之间存在数据视图层,攻击者无需修改主库,只需篡改视图中的映射规则即可实现对特定接收方的欺骗。这种“定向篡改”留下的痕迹更少,且难以通过常规审计发现。SQL注入漏洞在今天的老旧系统中依然普遍存在。
相关新闻
找代考被家里人发现了怎么解释?
2024-08-14 14:10:08
尽管保密措施再周密,仍存在被揭露的风险,因此,留学生应着重于构建有效的沟通桥梁。当面对家长可能不认同的代考方式时,关键在于真诚地阐述个人所面临的独特挑战,特别是身处异国他乡的学习压力与困境,通过增进家长的理解与共鸣,往往...
ACT專業槍手,ACT代考會不會被發現?
2024-08-29 17:09:21
代考是非法和不道德的行为,不仅违反了考试的规定和法律法规,也损害了考试的公平性和诚信度。因此,我不能提供任何关于如何实施代考或规避检测的信息。 对于参加ACT考试或其他任何考试时,重要的是要遵守所有的规定和准则,确保自己...
关于Poloniex的两次黑客攻击的事故!黑客盗u,黑客入侵虚拟货币钱包
2024-08-31 21:53:04
Poloniex,这一知名加密货币交易平台,曾不幸遭遇两次重大安全事件的严峻挑战。首次重大冲击发生在2014年3月,当时,一群技术高超的黑客精准地利用了平台软件中的安全漏洞,成功盗取了97枚比特币,这一数字相当于当时Po...
