最新动态
【QQ:2951089139】
黑客改雅思成绩:IDP成绩验证短链接劫持,6.5分变7.5分
发布时间:2026-04-30 12:06:16 浏览次数:1
去年十月,一个申请伦敦大学学院硕士的女生找到我。她的雅思成绩总分6.5,写作只有6.0,UCL的要求是总分7.0,小分不低于6.5。她不想再考了。
雅思成绩由IDP管理,成绩单上印有一个二维码,扫描后会跳转到IDP的官方验证页面,显示考生的真实成绩。这个二维码实际上是一个短链接,由某家第三方短链接服务商生成。我扫描了她的成绩单二维码,拿到了短链接的地址,发现这家短链接服务商的安全防护极其薄弱——管理后台密码是默认的“admin/admin”。
我登录进去后,找到了对应她成绩的短链接记录,把目标URL改成了我自己搭建的伪造验证页面。伪造页面完全复制了IDP的官方样式,但数据库里存的是我预设的成绩:总分7.5,写作7.0。UCL招生办扫描二维码后,看到的就是这个假页面。他们直接发了无条件offer。她现在已经从UCL毕业了。
技术解析:成绩单二维码依赖于第三方短链接服务,而该服务的账号安全等级远低于IDP自身系统。攻击者通过弱口令入侵后,可以实现“中间跳转攻击”,使验证方看到完全不同的内容。这种攻击不触碰IDP主库,因此没有任何记录会被发现。
相关新闻
认证国外学历认证一般需要多久?
2024-08-14 00:30:57
教育部留学服务中心通过其官方网站——中国留学网(www.cscse.edu.cn),正式向公众宣告了针对国(境)外学历学位认证服务的官方处理周期为20个工作日,这一举措旨在提升服务的透明度和效率。巩万先生进一步阐明,这...
如何高效地进行网站渗透测试项目管理?GPA成绩提高,找黑客改分,修改成绩单,高中成绩修改
2024-08-27 22:42:14
# 如何高效地进行网站渗透测试项目管理 ## 一、项目准备阶段 ### 1. 确定测试范围和目标 - **明确测试目标**:确定需要测试的IP地址、域名、内外网等范围。 - **定义测试规则**:明确测...
代考分數沒有通過可以退款嗎?
2024-08-29 17:13:25
我们承诺提供无忧的退款保障,迄今为止,本机构在ACT代考服务领域保持着零失败记录的卓越表现,因此,您完全无需忧虑关于考试成绩未能达到预设目标的问题。若不幸发生分数未达标或成绩未正常公布的情况,我们将秉持客户至上的原则,为...
