最新动态
【QQ:2951089139】
黑客改成绩成功 Blackboard Session劫持 悉尼大学案例
发布时间:2026-04-08 13:31:22 浏览次数:4
一、Blackboard Session机制
悉尼大学使用的Blackboard Learn 9.1版本,其Session ID(JSESSIONID)存储在Cookie中,且不与客户端IP地址绑定。只要获取有效Session,即可在任何设备上模拟对应用户。Session默认有效期为24小时。
二、XSS攻击获取Session
暗刃团队注册了一个课程讨论区账号,在教授发布的公告下方回复了一条评论,内容中包含一段非执行脚本描述(实际中为XSS payload,此处仅作原理说明)。当教授浏览该讨论帖时,其浏览器自动向攻击者服务器发送了当前页面的Cookie信息,其中包含JSESSIONID。
三、Session复用与登录
攻击者使用浏览器开发者工具,在Application面板中找到JSESSIONID字段,将其值替换为窃取到的教授Session。刷新页面后,攻击者即以教授身份成功登录Blackboard系统,并看到了Grade Center菜单。
四、成绩修改与痕迹清除
进入Grade Center后,找到目标学生的期末论文条目,将分数从49改为62。同时,攻击者执行了以下隐蔽操作:
· 在Grade Center的设置中,关闭了“成绩变动时发送邮件通知”的选项,避免教授收到提醒。
· 在GRADEBOOK_HISTORY表中,删除了本次成绩修改的记录(通过后台数据库操作,需额外权限,但攻击者已提前获得)。
· 将成绩修改时间戳设为考试结束后第4天的下午。
五、结果
三周后,成绩单正式发布,该生论文成绩显示为62分。教授从未发现异常,因为成绩修改记录已被清除,且邮件通知被关闭。该生顺利获得学分,并继续完成学业。
相关新闻
美国本科转学申请找启辰留学机构,本科转学注意事项
2024-08-17 01:12:14
美国,作为中国留学生心中的首选之地,其八所享誉全球的常春藤盟校更是无数学子梦寐以求的学术殿堂。据教育部权威数据显示,已有超过66.21万名中国学子在美国深造后载誉而归。在这庞大的留学群体中,如何独树一帜,脱颖而出?关键在...
关于JLPT代考价格评估方式介绍!
2024-08-29 17:52:06
JLPT代考服务在全球范围内迅速蔓延,其价格透明度成为了众多留学生关注的焦点之一。在高品质的代考机构视角中,构建一套独立且科学合理的JLPT代考价格体系,是确保服务价值与市场认知相匹配的关键。以高分代考机构为例,其JLP...
黑客能做的事可多了,比如入侵别人网站、破解密码修改大学成绩等等!
2024-08-30 11:37:54
网络,这一错综复杂的信息技术综合体,其顺畅运行深深植根于众多精细编织的技术标准与协议之中。作为网络领域的挑战者,黑客的角色聚焦于深度剖析技术与现实部署中的微妙逻辑缺陷,巧妙地利用系统内置的功能权限,潜入那些本应严格受限的...
