推荐新闻

【QQ:2951089139】
新闻资讯
首页新闻资讯
撕裂区块链:一次完美的比特币钱包入侵
2025-12-09 11:54:19
侦察阶段:目标为一名长期持有大量BTC的投资者。通过其社交媒体技术讨论帖,分析出其可能使用的某主流移动端钱包应用版本。该版本存在已知但未公开的日志记录漏洞,会将加密后的助记词片段临时存储在系统缓存中。 攻击链展开:...
慕尼黑大学成绩系统渗透分析 HISinOne漏洞实践
2025-12-09 11:53:15
XXE漏洞利用:HISinOne的成绩导入模块解析XML时未禁用外部实体。构造包含恶意DTD的ZIP格式成绩包,其中DTD文件通过HTTP从自建服务器加载,执行后获得Tomcat服务器权限。 横向移动:慕尼黑大学使...
柏林自由大学成绩系统黑客技术研究 CMIS漏洞利用
2025-12-09 11:51:50
加密漏洞定位:CMIS的成绩记录使用基于RSA的签名,但密钥生成时采用有缺陷的随机数生成器(使用系统时间作为熵源)。通过收集历史数据推断出密钥生成时间窗口,在1000个可能密钥中暴力破解成功。 离线签名伪造:使用...
曼彻斯特大学成绩系统渗透测试 Campus Solutions漏洞
2025-12-09 11:50:48
Kerberos协议攻击:曼大AD域控制器未强制实施Kerberos armoring。使用kerberoast工具获取PeopleSoft服务账户的哈希,离线破解后获得PS_TOKEN的AES加密密钥。 票据伪造...
伦敦大学学院成绩修改技术解析 Portico系统黑客记录
2025-12-09 11:49:33
联邦身份伪造:伦敦大学联盟的SAML元数据每小时同步一次。在元数据更新前15分钟,向UCL的IDP注册伪造的伯克贝克学院SP实体ID,并配置自己的公钥证书。系统在下一个同步周期将接受来自该伪SP的断言。 跨权限继...
蓝山数据风暴:Sydney Student系统的OAuth权限风暴攻击
2025-12-09 11:48:30
令牌漏洞利用:发现系统在交换id_token与access_token时,未验证audience声明的一致性。使用普通学生账户登录后,将id_token中的aud值从“student-portal”篡改为“grade-a...






