Как я взломал свою школу

У моей школы есть веб-сайт, на который учащиеся могут получить доступ, используя свои учетные данные(номер приема и пароль), чтобы просмотреть свою информацию, такую как табель успеваемости, достижения, задания и т. д.

Однажды, блуждая по сайту, я подумал о проверке его безопасности. Сначала я попробовал базовые SQL Injection и XSS Payloads в поле входа в систему, но они, похоже, не имели значения. Затем я вошел в систему со своими учетными данными, надеясь найти что-то, что я мог бы использовать, немного осмотревшись и используя свое минимальное понимание веб-сайтов, я понял, что все данные учащихся должны храниться на сервере, чтобы студенты могли чтобы получить к нему доступ.

ВЗЛОМ

Когда я нажал на кнопку и перехватил запрос с помощью Burp Suite, я заметил, что он отправляет запрос, и это мой номер допуска, поэтому я решил изменить номер допуска на номер допуска моего друга, поскольку номера допуска в любом случае являются общедоступной информацией.

И тут меня встретили с этим

Я успешно воспользовался сайтом и получил доступ к табелю успеваемости моего друга и всем его действиям. Он присоединился к школе в прошлом году, поэтому я мог получить доступ только к этим записям, поскольку других записей не существует.

КАК РАБОТАЕТ ВЗЛОМ

Этот тип взлома называется атакой Небезопасные прямые ссылки на объекты (IDOR). Это происходит, когда приложение (т. е. веб-сайт в данном случае) использует ввод пользователя напрямую для доступа к объектам (т. е. к записям) .

Бонус

Я нашел способ легко получить доступ ко всем записям после анализа исходного кода. Я обнаружил, что веб-сайт отправляет запрос на другой веб-сайт/сервер для доступа к записям.

Перейдя по ссылке и используя свой номер допуска в качестве входных данных, я получил свой табель успеваемости.

Теперь пользователь может получить доступ ко всем записям, даже не входя в систему, так как эта страница не запрашивает никаких учетных данных.

Я уже сообщил об этих уязвимостях в школу и получил разрешение опубликовать статью о том же.

Если у вас есть какие-либо сомнения, пожалуйста, не стесняйтесь обращаться ко мне в комментариях.

смотрите также:

Новые материалы

Объяснение документов 02: BERT

BERT представил двухступенчатую структуру обучения: предварительное обучение и тонкая настройка. Во время предварительного обучения модель обучается на неразмеченных данных с помощью..

Как проанализировать работу вашего классификатора?

Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..

Работа с цепями Маркова, часть 4 (Машинное обучение)

Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..

Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]

Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..

Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter

Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..

Учебные заметки: создание моего первого пакета Node.js

Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..

Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!

Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..

Метки

Machine Learning JavaScript Data Science Artificial Intelligence Software Development Python Web Development Coding Deep Learning AI React Software Engineering Nodejs Java Front End Development Typescript Computer Science Data Algorithms Development NLP Tech Programming Languages CSS ChatGPT HTML Python Programming Javascript Tips Angular Computer Vision Startup Data Visualization Neural Networks Tutorial Statistics Productivity Reactjs Learning