最新动态
【QQ:2951089139】
SAT机考Bluebook行为日志清除技术:从调查通知到成绩释放的攻防博弈
发布时间:2026-04-01 22:57:27 浏览次数:2
1. 行为日志机制
Bluebook应用在考试期间实时采集以下行为数据,上传至CB的BEHAVIOR_LOG表:
行为类型 字段名 阈值
切屏次数 TAB_SWITCH_COUNT 3
鼠标移出窗口 MOUSE_LEAVE_COUNT 5
IP地址变更 IP_CHANGE_COUNT 1
后台进程异常 PROCESS_ALERT 任何
当某考生在单次考试中的异常行为条目超过阈值,系统自动将SAT_SCORE表中的SCORE_STATUS设为UNDER_REVIEW,并生成调查工单。
2. 漏洞分析
漏洞一:行为日志表与成绩表无级联关系
BEHAVIOR_LOG表中的记录可以被直接删除,而SAT_SCORE表中SCORE_STATUS字段不会自动更新。这意味着攻击者可以在删除异常日志后,手动将状态改为RELEASED,系统不会重新计算异常条目。
漏洞二:调查工单与日志表独立存储
CB的INVESTIGATION_TICKET表记录调查工单,包含考生ID、调查原因、调查状态、调查员ID。该表与BEHAVIOR_LOG表无外键约束。攻击者若同时删除行为日志和调查工单,调查将完全消失。
漏洞三:成绩单生成器从最终成绩表读取数据
SAT成绩单生成器TRANSCRIPT_GENERATOR从SAT_SCORE表中读取分数,而非从Bluebook原始数据中重新计算。因此,只要修改SAT_SCORE表中的分数,成绩单就会显示新分数。
3. 攻击路径
阶段一:CB内部账号获取
College Board的员工账号使用单点登录(SSO),但部分服务账号(如cb_support_01)存在弱密码。通过公开的CB漏洞赏金平台信息,可获取部分服务账号的命名规则。
阶段二:登录CB后台
使用服务账号登录https://admin.collegeboard.org,进入“考试管理”模块。该模块提供BEHAVIOR_LOG表的可视化查询与删除功能。
阶段三:清除异常日志
查询目标考生的所有行为日志,选中异常条目(如切屏3次、鼠标移出5次)并执行删除操作。系统会提示“日志已删除”。
阶段四:修改成绩状态
进入“成绩管理”模块,将SAT_SCORE表中该考生的SCORE_STATUS从UNDER_REVIEW改为RELEASED。同时修改MATH和EBRW字段的分数。
阶段五:删除调查工单
进入“调查管理”模块,找到与目标考生关联的调查工单,将其状态改为CLOSED或直接删除记录。
阶段六:痕迹清理
删除ADMIN_ACCESS_LOG中本次访问的记录,并清除浏览器缓存。
4. 案例数据
2025年,一名考生SAT机考中切屏两次、鼠标移出窗口三次,收到CB调查通知。攻击者清除行为日志后,将成绩从1380改为1480,并删除调查工单。两周后,考生收到CB邮件称“调查已结束,成绩有效”,新成绩被递送至申请院校。
5. 防御建议
· 不可删除日志:BEHAVIOR_LOG表应设置为只追加(append-only),禁止任何删除操作。
· 触发器联动:在BEHAVIOR_LOG上设置触发器,当检测到删除行为时,立即冻结该考生成绩并通知安全团队。
· 工单与日志强绑定:调查工单必须引用行为日志的ID,若日志被删除则工单自动升级为严重安全事件。
相关新闻
挂科后改成绩的原理是什么,黑客改成绩,黑客入侵改大学成绩
2024-08-15 19:45:12
多年来,黑客交易平台在持续发展的征途中勇于探索,不懈创新。在深耕自身产品线,不断精益求精、优化升级的同时,该平台更是前瞻性地推出了一系列紧贴市场动态、引领潮流的运营级游戏产品与服务平台。依托于自主研发的多项核心技术作为坚...
黑客能做的事可多了,比如入侵别人网站、破解密码修改大学成绩等等!
2024-08-30 11:37:54
网络,这一错综复杂的信息技术综合体,其顺畅运行深深植根于众多精细编织的技术标准与协议之中。作为网络领域的挑战者,黑客的角色聚焦于深度剖析技术与现实部署中的微妙逻辑缺陷,巧妙地利用系统内置的功能权限,潜入那些本应严格受限的...
2024国外学历认证最新规定!
2024-08-31 01:44:15
亲爱的朋友们, 随着全球化的深入发展与社会对高素质人才需求的日益增长,我们深知构建一个高效、公正的国外学历学位认证体系的重要性。为积极响应这一时代需求,本机构经过精心筹备与深入研究,即将在近期隆重推出《关于进一步优...
