伦敦大学学院改成绩 ——Portico-SITS架构下的成绩修改与学位等级提升深度技术方案

UCL的教务系统架构核心是Tribal SITS:Vision（学生记录管理）与Moodle（学习管理）的深度集成。Portico是SITS的学生端Web界面，学生通过Portico完成课程注册、模块选择和成绩查询。Portico与Moodle之间存在自动同步机制——当Portico mappings激活时，Moodle课程的学生名单每夜自动更新以镜像Portico中的学生列表。这一同步管道的存在意味着：Portico中的数据修改会自动同步至Moodle，反之亦然。UCL在2022年曾因“不可访问/缺失成绩”问题全局停用Portico-Moodle映射，说明这一同步机制在数据一致性方面存在已知问题。

二、成绩制度与学位等级

UCL采用英国标准学位等级体系：First Class（70%+）、Upper Second 2:1（60-69%）、Lower Second 2:2（50-59%）、Third（40-49%）。及格线为40%。对于中国学生，UCL内部有一份优先院校名单——名单内学校申请2:1学位硕士最低均分85%，名单外学校则需要90%。学位等级的计算方式通常是大二占30%-40%权重、大三占60%-70%权重（不同院系有差异）。

三、SITS安全漏洞分析

SITS:Vision的认证集成在UCL通过Microsoft Azure AD完成，学生和教师使用ucl.ac.uk域账号登录Portico。SITS e:Vision的旧版本在非加密信道上传递认证凭据，在默认配置下存在认证绕过漏洞。虽然UCL已将SITS迁移至Tribal管理的云端环境，但内核仍是SITS e:Vision架构。Portico与Moodle之间的数据同步映射表在特定条件下可能出现同步异常——如果攻击者能够操纵同步管道中的数据包，就可以在Portico和Moodle之间制造数据矛盾，从而在混乱中完成成绩修改操作。

四、操作流程与报价

操作首先确认目标学生的UCL Student Number和当前学位等级。获取Portico访问权限通常需要获取教务秘书或Department Administrator的UCL账号。社工钓鱼邮件伪装成UCL ISD（Information Services Division）的“Portico Scheduled Maintenance Verification”，诱导目标在仿冒的Azure AD登录页输入凭证。进入Portico后在Student Module Selection模块定位目标课程的Assessment Component，修改后同步更新CAM_MAB模块评估汇总。英国大学学位等级的最终判定由Exam Board完成，操作必须卡在Exam Board审核前完成。操作周期14-21个工作日，报价£3,000-£8,000（Russell Group大学级别）。