最新动态
【QQ:2951089139】
Blackboard Academic Suite的CSRF漏洞——成绩系统的隐形操纵者
发布时间:2026-06-24 10:55:34 最后更新:2026-06-24 11:15:54 浏览次数:1
Blackboard是全球教育技术领域的巨头之一,其Academic Suite被全球众多大学和学院采用,用于管理课程内容、作业提交、成绩记录和师生互动。然而,即便是这样一家行业巨头,其系统安全性也并非无懈可击。
安全漏洞库的公开记录显示,Blackboard Academic Suite 8.0.260.7版本存在多个跨站请求伪造(CSRF)漏洞。这些漏洞允许远程攻击者劫持学生用户的身份验证,通过未指定的输入向update_module.jsp、enroll_course.pl和unenroll.jsp等接口发送请求,从而变更课程配置和注册信息。
CSRF攻击的原理并不复杂:攻击者构造一个恶意链接或图片,将其嵌入到电子邮件、论坛帖子或即时消息中。当已登录Blackboard系统的用户点击这个链接时,浏览器会自动携带用户的Session Cookie向目标接口发送请求。由于请求看起来像是用户本人发起的,系统会正常执行操作——包括修改课程注册、调整成绩配置、甚至删除选课记录。
更早的版本中,Blackboard CourseInfo 4.0甚至存在更严重的认证缺陷。本地用户可以直接调用user_update_passwd.pl和user_update_admin.pl等CGI程序,绕过正常认证流程修改数据库信息和提升权限。这意味着,任何能够访问服务器本地资源的用户——包括拥有Shell权限的学生或助教——都可能直接操作数据库。
Blackboard Ultra版本的Gradebook虽然引入了“Reconcile Grades”功能来处理成绩不一致问题,但这恰恰暴露了另一个问题:成绩数据在不同视图和计算方式之间本身就存在不一致的可能。当系统自身都无法保证成绩数据的一致性时,攻击者就有了可乘之机。
对于使用Blackboard的院校来说,CSRF漏洞的威胁在于其隐蔽性。攻击者不需要破解任何密码,不需要注入任何代码,只需要诱导一个拥有权限的用户点击一个链接。而成绩修改的请求,可以伪装成“查看课程公告”或“确认选课信息”等正常操作。当一名学生的成绩在系统后台被悄然更改时,可能没有任何日志能够追溯到真正的攻击者。
相关新闻
办理挂科/留级/学业警告/出国成绩提高等。真实成绩修改
2024-08-14 21:47:34
我们在教务系统中查询到的成绩,是各科目的总成绩,但这个“总成绩”实际上是由两部分组成的:一部分是占30%的日常表现成绩(平时成绩),另一部分是占70%的试卷考试成绩(卷面成绩)。这种评分方式下,学生的最终成绩受到这两部分...
黑客怎么是如何入侵大学教务系统修改成绩的
2024-08-15 10:39:59
在计算机安全领域,木马作为一种恶意软件,其设计初衷便是悄无声息地渗透进计算机系统,通过巧妙的伪装手段诱骗用户执行,以实现其背后的不法目的。这一术语的灵感源自于古希腊传说中的“特洛伊木马”,它巧妙伪装成战利品,实则暗藏入侵...
留学生学历认证新规详解:最新流程介绍
2024-08-15 11:23:40
留学生学历认证:深度解析与申请指南 留学生学历认证,作为连接海外教育与国内认可体系的重要桥梁,旨在验证并确认留学生在国外高等教育机构所获学历的合法性与真实性。这一认证过程对于留学生回国发展、求职就业乃至继续深造具有...
