行业新闻与博客

多年来，许多报告都记录了政府和企业 IT 安全的挑战，但美国学校的 IT 安全状况如何？

在拉斯维加斯举行的 DEF CON 27 会议上，18 岁的 Bill Demirkapi 详细介绍了他如何在学校使用的几种不同的软件应用程序中发现多个漏洞，包括 Blackboard 的社区参与软件和 Follett 的学生信息系统。他 16 岁时开始发现这些问题并继续他的研究，直到他在 2019年春季毕业。

这些错误的严重程度和类型各不相同，包括 SQL 注入以及 xml 包含漏洞。虽然这些错误改变了最终的影响，但 Demirkapi 说他本可以获取个人身份信息甚至改变他的成绩。

“我知道有很多学校使用该软件，”Demirkapi 说。“我发现漏洞的方法是......非常不合适且非专业。它只是在查看页面并试图弄乱参数。”

他能够发现的简单缺陷包括对学生信息系统的不正当访问控制。Demirkapi 解释说，系统的大部分属性都是增加的，只需简单的方法，便于识别学生。此外，他发现了一个本地文件包含缺陷。

他解释说，在下载他们的日程安排或报告卡时，用户将被重定向到名为 toolResult.do 的 servlet。

“在运行工具或尝试下载与用户共享的文件后，会向 toolResult.do 发出请求，”Demirkapi 说。“通过将 fileName 参数修改为正确的路径转义，攻击者可以访问系统上的任何文件。”

在 Blackboard 的社区参与软件中，Demirkapi 表示，他发现了他所谓的“SQL 注入丰富”，其最终结果也使他获得了未经授权的访问。他再一次指出，他真的不知道自己在做什么，但仍然能够找到问题。

“基本上，我通过爬虫和使用 Chrome Web 工具抓取了一个链接列表，然后我会尝试找到有趣的参数来看看服务器在收到意外输入时的反应，”他说。“对于响应 SQL 注入中常用字符的参数，我将它们放在 SQLmap 中。”

SQLmap 是一种流行的开源工具，可以轻松地让用户在软件中测试和利用 SQL 注入条件。Demirkapi 访问的 Blackboard 系统不仅仅涉及他自己的学校，而且系统中有超过 500 万名学生和教师分布在 5,000 多所学校。

Demirkapi 很快就注意到，在他自己的研究中，他只看了他自己的数据，并没有查看或接受任何其他人的信息。他评论说，收集的任何其他信息都是元数据，例如数据库中的行数。

“我一直在调查的主要原因是因为数据库也有我的记录，”他说。“我觉得有必要确定影响我自己的记录和同行记录的程度。”

Demirkapi 不仅一丝不苟地试图对仅访问他自己的数据负责，他还试图对他的学校和受影响的供应商的披露负责，结果喜忧参半。在试图通过披露通知获得学校的注意力之后，Demirkapi 表示他已被停学两天，该通知本应该送到他学校的 IT 团队，但最终会去他所在学区的每所学校。

Demirkapi 从最初的经验中吸取了教训，并通过 CERT 协调中心进行了未来的披露  ，这使得披露过程变得更加容易，尽管他仍面临一些障碍。

在他的演讲中，他注意到他在给出他的 DEF CON 演讲之前已经联系过 Blackboard，并被建议在演讲中分享一个声明，他做了。

“Blackboard 一直在努力改善我们产品的安全性，以及我们用于支持安全性的流程和程序，”该公司表示。

Demirkapi 表示，学校认真对待数据安全并让软件供应商负责是非常重要的。“不要因为营销而堕落，”他说。“仅仅因为他们说他们处理数据并不意味着他们这样做。”

Demirkapi 补充说，他认为需要更多的规定来保护儿童的数据安全，因为他们无法保护自己的数据。“如果一个 16 岁的孩子能够发现影响数百万学生和教师的违规行为，民族国家会发现什么？” 他问。

非常感谢您对亚洲注册的支持与信任！

禁止转载