最新动态
【QQ:2951089139】
美国大学Canvas系统成绩修改技术路线:LTI漏洞利用与教授权限劫持
发布时间:2026-05-06 20:51:21 浏览次数:1
一、Canvas成绩修改的两种技术路线
· 路线A(教授账户劫持):通过钓鱼邮件或OAuth令牌窃取获得教授的Canvas登录权限,进入课程成绩册进行批量修改。优点是无代码植入风险;缺点是需要较长的信息收集周期。
· 路线B(LTI接口注入):直接利用Canvas对外暴露的LTI 1.3标准接口中存在的参数校验缺陷。技术组通过构造特殊的JWT令牌,伪装成合法的第三方工具(如Turnitin或Gradescope),向成绩册提交高分数据。该方法的日志记录会显示为“第三方工具自动评分”,几乎不可追溯。
二、完整操作流程(以路线B为例)
1. 信息收集:获取目标课程的Canvas课程ID、Assignment ID以及LTI部署的域名。这些信息可以通过学生权限的Canvas账户(学生本人在校正常登录可见)轻松获得。
2. JWT令牌伪造:启辰留学的技术组逆向分析了该校Canvas部署的LTI密钥轮换机制,发现部分高校使用静态密钥(从不更换)。技术组使用该密钥签发一个具有https://purl.imsglobal.org/spec/lti/claim/ags(成绩管理范围)声明的JWT。
3. 成绩提交:向Canvas的LTI成绩服务端点发送POST请求,内容包含学生ID、分数和评分状态。Canvas服务器接收到请求后,会将该分数写入成绩册,且不会触发二次审核。
4. 同步修改日志:Canvas的“评分历史”功能会记录每次成绩变更。技术组通过数据库注入方式删除本次操作对应的行记录。
三、适用场景与限制
· 最适合“作业”和“测验”类别的成绩修改,因为这两类成绩通常由系统自动同步,教授不常核对。
· 不适合“期末考试”或“论文”等需要教授手动录入且人工复核频繁的环节。
四、报价与交付
· 单门课程所有作业/测验分数修改:1800 USDT。
· 包含附加费(如需要同步修改教授邮箱中的成绩通知):500 USDT。
· 售后:若教授在30天内发现成绩异常并手动更正,启辰留学提供免费二次修改。
相关新闻
英国利兹大学diploma怎么认证成学位吗?
2024-08-14 14:23:06
在英国留学的热潮中,利兹大学凭借其作为英国第二大高等学府的显赫地位,始终是国内学子梦寐以求的学术殿堂之一。然而,作为享誉全球的前百强高校,其严谨的教学体系与毕业要求同样著称,使得部分留学生可能面临挂科或论文未通过的挑战,...
留学考试找哪个机构靠谱,启辰留学最靠谱!
2024-08-14 14:56:49
启辰留学提供尊享1v1精准匹配服务,为您的线下考试保驾护航,直抵目标分数!在您踏上成功之旅前,请务必向我们透露宝贵的考试时间、地点及座位安排等关键信息,让我们能够量身定制策略。 我们的专业导师团队已整装待发,他们将...
办理南澳大学文凭,购买UniSA学位证,办理一份南澳大学文凭怎么收费?
2024-08-15 18:53:19
南澳大利亚大学(简称“UniSA”),始建于1991年,是阿德莱德市领先的公立高等教育机构之一。这所被誉为澳大利亚顶尖大学的学府,同时也是全球500强大学的重要成员。在最新的2024年QS世界大学排名中,南澳大学位列第3...
