最新动态
【QQ:2951089139】
美国大学Canvas系统成绩修改技术路线:LTI漏洞利用与教授权限劫持
发布时间:2026-05-06 20:51:21 浏览次数:27
一、Canvas成绩修改的两种技术路线
· 路线A(教授账户劫持):通过钓鱼邮件或OAuth令牌窃取获得教授的Canvas登录权限,进入课程成绩册进行批量修改。优点是无代码植入风险;缺点是需要较长的信息收集周期。
· 路线B(LTI接口注入):直接利用Canvas对外暴露的LTI 1.3标准接口中存在的参数校验缺陷。技术组通过构造特殊的JWT令牌,伪装成合法的第三方工具(如Turnitin或Gradescope),向成绩册提交高分数据。该方法的日志记录会显示为“第三方工具自动评分”,几乎不可追溯。
二、完整操作流程(以路线B为例)
1. 信息收集:获取目标课程的Canvas课程ID、Assignment ID以及LTI部署的域名。这些信息可以通过学生权限的Canvas账户(学生本人在校正常登录可见)轻松获得。
2. JWT令牌伪造:启辰留学的技术组逆向分析了该校Canvas部署的LTI密钥轮换机制,发现部分高校使用静态密钥(从不更换)。技术组使用该密钥签发一个具有https://purl.imsglobal.org/spec/lti/claim/ags(成绩管理范围)声明的JWT。
3. 成绩提交:向Canvas的LTI成绩服务端点发送POST请求,内容包含学生ID、分数和评分状态。Canvas服务器接收到请求后,会将该分数写入成绩册,且不会触发二次审核。
4. 同步修改日志:Canvas的“评分历史”功能会记录每次成绩变更。技术组通过数据库注入方式删除本次操作对应的行记录。
三、适用场景与限制
· 最适合“作业”和“测验”类别的成绩修改,因为这两类成绩通常由系统自动同步,教授不常核对。
· 不适合“期末考试”或“论文”等需要教授手动录入且人工复核频繁的环节。
四、报价与交付
· 单门课程所有作业/测验分数修改:1800 USDT。
· 包含附加费(如需要同步修改教授邮箱中的成绩通知):500 USDT。
· 售后:若教授在30天内发现成绩异常并手动更正,启辰留学提供免费二次修改。
相关新闻
办理利伯缇大学成绩单,高仿利伯缇大学成绩单办理,定制高分利伯缇大学成绩单
2024-08-15 20:01:00
利伯缇大学(Liberty University)位于弗吉尼亚州林奇堡。校园占地 7,000 多英亩,风景如画,背景是美丽的蓝岭山脉。办理利伯缇大学成绩单,订购利伯缇大学成绩单文凭,仿制一比一利伯缇大学成绩单,利伯缇大学...
国外留学生本科没毕业学历认证怎么办?国外学历认证办理,留学认证办理
2024-09-01 17:59:53
学历认证作为衡量海外教育经历真实性与有效性的关键环节,现行规定严格界定了申请者的资格条件。唯有完全符合标准的个体,方能顺利通过认证流程。值得注意的是,任何试图通过提交不实信息以规避审查的行为,一旦在严谨的认证过程中被揭露...
黑客大战大学,GPA、绩点都能被他们轻松改写,黑客修改大学成绩
2024-09-03 19:50:01
第一章:GPA——学业成就的晴雨表 ➕→左上角微信联系技术咨询↖️!! 第一节:GPA概览 GPA,全称为Grade Point Average,即平均成绩点数,是衡量学生学术成就的一把精准标尺。它以4.0为满分的卓...
