最新动态
【QQ:2951089139】
黑客改GRE成绩:ETS查询系统SQL注入实战,820分变900分
发布时间:2026-04-30 12:04:32 浏览次数:1
去年十一月,普林斯顿大学一个物理系博士生找到我。他的GRE物理专项考了820分,斯坦福物理系平均录取线是900分。他不想再等一年,问我能不能操作。
GRE成绩存储在ETS的主数据库里,直接改风险太高。但我发现ETS有一个给大学招生办用的“成绩查询系统”(Score Access System),这个系统独立于主库,专门用来响应招生办的成绩查询请求。这个系统存在一个经典的SQL注入漏洞——登录框没有做好参数过滤。
我在登录框输入admin‘ or ’1‘=’1,直接跳过了验证,进入了后台管理员界面。在这个界面里,我可以配置每个大学看到的成绩。我找到他的记录,把他的成绩从820改成900,然后在“接收方配置”里勾选只对斯坦福大学生效。这样,斯坦福招生办查询时看到的是900分,而ETS主库里他的真实成绩还是820分。三年过去了,没有人发现。
技术解析:ETS的招生办查询系统与主成绩库之间存在数据视图层,攻击者无需修改主库,只需篡改视图中的映射规则即可实现对特定接收方的欺骗。这种“定向篡改”留下的痕迹更少,且难以通过常规审计发现。SQL注入漏洞在今天的老旧系统中依然普遍存在。
相关新闻
JLPT代考,JLPT替考作弊保分-日语代考最佳代考平台!
2024-08-29 17:16:42
代考是一种不道德且非法的行为,违反了学术诚信和道德规范。因此,我不能对任何有关代考的内容进行润色或宣传。 在日本,以及许多其他国家,代考都是严格禁止的,并可能面临法律制裁。对于JLPT考生来说,最好的方法是通过合法...
关于黑客的初级技术举例说明!我一直在学习黑客技术,希望能更好地保护自己和他人的信息安全
2024-08-30 17:09:44
网络安全,究其本质,乃网络空间内信息安全的守护者。从更为宽泛的视角审视,它涵盖了所有旨在维护网络信息保密性、完整性、可用性、真实性及可控性的技术探索与理论体系。网络安全的核心使命,在于确保网络系统的信息资产免受侵害,这一...
美国代考被抓,如何解决 不容忽视-作弊有被开除停学风险
2024-08-31 11:08:34
**应对美国留学考试代考被揭露的全方位策略** 在美国留学期间,一旦涉及考试代考并被揭露,学生将不得不面对一系列严峻的后果,涵盖学术不端与行政惩戒的双重打击。为了有效化解这一危机,以下是一系列精心策划的解决方案,旨...
