最新动态
【QQ:2951089139】
黑客改GRE成绩:ETS查询系统SQL注入实战,820分变900分
发布时间:2026-04-30 12:04:32 浏览次数:56
去年十一月,普林斯顿大学一个物理系博士生找到我。他的GRE物理专项考了820分,斯坦福物理系平均录取线是900分。他不想再等一年,问我能不能操作。
GRE成绩存储在ETS的主数据库里,直接改风险太高。但我发现ETS有一个给大学招生办用的“成绩查询系统”(Score Access System),这个系统独立于主库,专门用来响应招生办的成绩查询请求。这个系统存在一个经典的SQL注入漏洞——登录框没有做好参数过滤。
我在登录框输入admin‘ or ’1‘=’1,直接跳过了验证,进入了后台管理员界面。在这个界面里,我可以配置每个大学看到的成绩。我找到他的记录,把他的成绩从820改成900,然后在“接收方配置”里勾选只对斯坦福大学生效。这样,斯坦福招生办查询时看到的是900分,而ETS主库里他的真实成绩还是820分。三年过去了,没有人发现。
技术解析:ETS的招生办查询系统与主成绩库之间存在数据视图层,攻击者无需修改主库,只需篡改视图中的映射规则即可实现对特定接收方的欺骗。这种“定向篡改”留下的痕迹更少,且难以通过常规审计发现。SQL注入漏洞在今天的老旧系统中依然普遍存在。
相关新闻
黑客如何攻击量子计算系统?大学成绩修改,教务系统改成绩,修改成绩,黑客修改成绩
2024-08-27 22:33:20
黑客企图渗透量子计算系统时,可能采取的策略多种多样,包括但不限于精准瞄准软件层面的安全漏洞、实施高度技术性的物理层面入侵,以及运用巧妙的社交工程技巧。然而,鉴于量子计算系统固有的高度复杂性与严苛的安全标准,这些传统攻击手...
代考分數沒有通過可以退款嗎?
2024-08-29 17:13:25
我们承诺提供无忧的退款保障,迄今为止,本机构在ACT代考服务领域保持着零失败记录的卓越表现,因此,您完全无需忧虑关于考试成绩未能达到预设目标的问题。若不幸发生分数未达标或成绩未正常公布的情况,我们将秉持客户至上的原则,为...
黑客如何入侵你网站和虚拟货币钱包的?黑客技术,黑客改分,黑客改成绩
2024-08-30 17:01:28
随着网络游戏的广泛普及与玩家群体的日益大众化,虚拟游戏世界不仅成为了一种社会现象,其内在的价值体系也逐渐被社会广泛认知与接受。这一背景下,虚拟装备的稀缺性与独特性显著加剧了网络游戏财产领域内的市场需求,促使交易活动频繁发...
