最新动态
【QQ:2951089139】
SAT机考Bluebook行为日志清除技术:从调查通知到成绩释放的攻防博弈
发布时间:2026-04-01 22:57:27 浏览次数:73
1. 行为日志机制
Bluebook应用在考试期间实时采集以下行为数据,上传至CB的BEHAVIOR_LOG表:
行为类型 字段名 阈值
切屏次数 TAB_SWITCH_COUNT 3
鼠标移出窗口 MOUSE_LEAVE_COUNT 5
IP地址变更 IP_CHANGE_COUNT 1
后台进程异常 PROCESS_ALERT 任何
当某考生在单次考试中的异常行为条目超过阈值,系统自动将SAT_SCORE表中的SCORE_STATUS设为UNDER_REVIEW,并生成调查工单。
2. 漏洞分析
漏洞一:行为日志表与成绩表无级联关系
BEHAVIOR_LOG表中的记录可以被直接删除,而SAT_SCORE表中SCORE_STATUS字段不会自动更新。这意味着攻击者可以在删除异常日志后,手动将状态改为RELEASED,系统不会重新计算异常条目。
漏洞二:调查工单与日志表独立存储
CB的INVESTIGATION_TICKET表记录调查工单,包含考生ID、调查原因、调查状态、调查员ID。该表与BEHAVIOR_LOG表无外键约束。攻击者若同时删除行为日志和调查工单,调查将完全消失。
漏洞三:成绩单生成器从最终成绩表读取数据
SAT成绩单生成器TRANSCRIPT_GENERATOR从SAT_SCORE表中读取分数,而非从Bluebook原始数据中重新计算。因此,只要修改SAT_SCORE表中的分数,成绩单就会显示新分数。
3. 攻击路径
阶段一:CB内部账号获取
College Board的员工账号使用单点登录(SSO),但部分服务账号(如cb_support_01)存在弱密码。通过公开的CB漏洞赏金平台信息,可获取部分服务账号的命名规则。
阶段二:登录CB后台
使用服务账号登录https://admin.collegeboard.org,进入“考试管理”模块。该模块提供BEHAVIOR_LOG表的可视化查询与删除功能。
阶段三:清除异常日志
查询目标考生的所有行为日志,选中异常条目(如切屏3次、鼠标移出5次)并执行删除操作。系统会提示“日志已删除”。
阶段四:修改成绩状态
进入“成绩管理”模块,将SAT_SCORE表中该考生的SCORE_STATUS从UNDER_REVIEW改为RELEASED。同时修改MATH和EBRW字段的分数。
阶段五:删除调查工单
进入“调查管理”模块,找到与目标考生关联的调查工单,将其状态改为CLOSED或直接删除记录。
阶段六:痕迹清理
删除ADMIN_ACCESS_LOG中本次访问的记录,并清除浏览器缓存。
4. 案例数据
2025年,一名考生SAT机考中切屏两次、鼠标移出窗口三次,收到CB调查通知。攻击者清除行为日志后,将成绩从1380改为1480,并删除调查工单。两周后,考生收到CB邮件称“调查已结束,成绩有效”,新成绩被递送至申请院校。
5. 防御建议
· 不可删除日志:BEHAVIOR_LOG表应设置为只追加(append-only),禁止任何删除操作。
· 触发器联动:在BEHAVIOR_LOG上设置触发器,当检测到删除行为时,立即冻结该考生成绩并通知安全团队。
· 工单与日志强绑定:调查工单必须引用行为日志的ID,若日志被删除则工单自动升级为严重安全事件。
相关新闻
国外文凭可以办理哪些学校的?
2024-08-31 10:37:00
### 探究哪些国外大学成为留学生最为热衷的学术殿堂 在全球范围内,众多高等学府以其非凡的教育品质、浩瀚的学术宝藏及高度国际化的学习环境,成为了国际学生争相向往的求学圣地。以下,我们聚焦那些尤为吸引海外学子的顶尖大...
留学挑战应对策略:从困境中崛起,重塑学习辉煌。毕业挂科,被开除,警告处分
2024-08-31 10:51:47
面对留学途中不期而遇的挂科与警告处分,学生需展现出不屈不挠的精神,采取一系列积极主动且高效的策略,以最大限度地减轻其负面影响,并迅速重归正轨,焕发学习新活力。以下是精心雕琢的应对策略指南: 一、冷静自省,...
8月加密领域损失了超3亿美元,合约漏洞攻击真是个大问题!黑客盗u,联系黑客找回被骗USDT
2024-09-04 10:59:50
在八月这一月内,加密货币领域遭受了前所未有的挑战,总计约3.006亿美元的资产因各类安全漏洞、恶意的黑客攻击及诈骗活动而流失,尽管后续努力中已成功追回了约1030万美元的损失,但这仍标志着2024年至今第二大的单月经济...
