最新动态

【微VqiChen信】
2021 年澳洲某大学 API 未授权访问漏洞
发布时间:2025-03-25 00:44:27 浏览次数:30
2021年,某澳洲大学的移动端成绩查询API因未正确验证用户权限,导致黑客通过构造HTTP请求批量修改成绩。
入侵过程分析
1. 漏洞发现:
- 攻击者使用Burp Suite抓包,发现查询成绩的API端点(如 `/api/grades?student_id=123`)。
尝试将GET请求改为PUT/POST,发现可直接提交修改请求(如 `{"score": 95}`)。
2. 批量篡改:
攻击者编写脚本自动遍历学号,修改大量成绩记录。
由于API无限流,短时间内发起数千次请求。
安全防护缺陷
API未做身份验证,允许未授权访问。
未实施速率限制,导致自动化攻击未被拦截。
无操作日志,无法追溯攻击来源。
相关新闻
新版德雷塞尔大学文凭样本 购买德雷塞尔大学学历 怎么办理德雷塞尔大学学位证书
2024-08-14 00:09:59
德雷塞尔大学:创新与实践并重的学术殿堂 德雷塞尔大学(Drexel University),坐落于美国东海岸的宾夕法尼亚州费城,是一所享有国际盛誉的私立研究型大学。自1891年成立以来,德雷塞尔便以其独特的“合...
关于中外合作办学的学生需要提交哪些认证申请材料?
2024-08-14 21:12:47
请中外合作办学的毕业生悉知,务必提交以下三项关键文件以供审核:毕业证书(或学位证书)、个人有效身份证件以及官方授权声明书。若您在学习期间,有累计达到或超过180天的境外(含港澳台地区)学习经历,建议您在申请认证时,明确选...
留学回国学位证书丢失,还能申请认证吗?
2024-08-14 21:15:29
若不慎遗失证书,您可首先向原颁证院校提出补发证书的申请,并在成功获取补发证书后,继续提交相应的认证申请流程。若因特殊原因,颁证院校无法直接补发原证书,则需准备证书的官方副本或是由院校正式出具、加盖公章的学位授予证明文件,...