當前位置:
首頁 > 新聞 > 活活將黑產搞崩潰的教務系統,你的母校可能在列

活活將黑產搞崩潰的教務系統,你的母校可能在列

院校政府網站一直是黑產眼中的金礦,但作為高校教務系統重要一環,選課系統卻鮮有黑產惦記。這背後到底有哪些鮮為人知的故事呢?


我們有幸邀請到曾在某985教務處任職的A君,以及大學生代表B妹,圍繞最近微博熱議的高校選課系統,聊聊事件背後一些有趣的故事。微博某大V在上周發布了一篇有關高校選課的內容,一經發出引發各大各校應屆與往屆學生群體熱議。大家聲淚俱下,紛紛吐槽母校奇葩的選課網站以及APP。為此,Magiccc還專門針對各大高校選課網站以及APP做了簡單的評測,並整理了個榜單。這裡就不細表,大家感興趣的可以回復「榜單」獲取,看看自己的母校是否在列。


一、當前各大高校的選課系統是否存在選課難問題?

極驗Magiccc:這次微博熱議的選課系統,是真的存在選課難,難到黑灰產都放棄的程度?A君:首先要說明,網上不少圖都是P的,比如2013年人人網傳瘋了的復旦選課系統的驗證碼,後來果殼上有復旦的校友澄清了。不過,現在大部分學校選課系統的確存在一定壓力。


二、為什麼會出現選課難問題?


極驗Magiccc:作為校方以及學生代表,選課難的問題到底出在哪?


B妹:微博上不少同學反饋,出現選課難的主要原因,還是出在學校伺服器以及驗證碼上。


比如:選課系統登了好半天,就是進不去好不容易網頁顯示了,驗證碼又不顯示驗證碼刷出來後,複雜得懷疑人生,感覺自己不是文盲就是瞎最後終於擠進去了,喔嚯!課都被選滿了總結下來就是,老舊的伺服器,以及五花八門的驗證碼嚴重影響了我們的選課效率。A君:這個問題不能簡單的歸咎在選課系統,或者是校方伺服器以及驗證碼。就拿13年那會在教務處任職的經歷來說,雖然5年期間學校教務系統不會有太大調整,但是考慮到最近幾年政府以及高校都在加大內部網站以及APP的建設以及投入,以下內容僅供探討與交流.


主觀原因:

第一,先從學校的組織結構說起:

國內大多數高校官網運營管理都會放到行政系統里的教務處底下,或者是後勤。在外界看來,校園網路就是一個簡單的web發布平台。但由於高校的特殊性,各部門下面的二級站點數量繁多,其實對於網站的搭建以及後台要求是非常高的,這還不包括整個網站安全管理工作。



某高校網路拓撲圖所以,國內985大多都有獨立的部門管理這塊的工作。其中,蘭大早在二十年前就成立了網路中心,其網路安全與信息化辦公室更是全國高校的標杆。

而與之形成對比的是,國內不少高校網路中心就是幾個計算機學院的退休職工輪班,有的甚至壓根就沒網路中心,找個行政小姑娘兼著代管。往往這樣的高校機房裡,負責調控的終端的電腦可能都還是二十年前的古董機。平時可能也就打打鬥地主,連連看什麼的,消磨時間。這樣子的教務系統人員結構,平常維護不出問題已經謝天謝地了。



蘭州大學網路安全與信息化辦公室


第二,伺服器以及驗證碼問題,

這個是目前關注度非常高的問題。


在說這個問題之前,先要跟大家說明兩個問題:1)跟某網上訂票平台一樣,平時學校的伺服器壓力並沒有那麼大。開學以及期末期間,搶課算是教務系統壓力最大的時候,但是大多數高校基於成本考慮,並沒有按照峰值設計系統。就像沒必要為了保證春運的流暢,而大修鐵路、公路,購買大量列車客車,平時晾著不跑,光保養都是一筆不小的開支;


2)2011年6月,鳳凰網曾經發不過一篇題為《盤點中國大陸欠債最多的十所大學》的文章,裡面不少985、211。高校的債務多數是盲目擴張,為了政績進行基礎建設累計,從而到達評級標準(例如985,211或者專升本,三本升二本之類)。學校的主要收入來自各級財政撥款,所以大學跟政府一樣,都是預算會計制度,每年結清利息就完事了,債務最後其實都是政府買單。


所以,雖然跟基建支出相比,伺服器的錢都是小錢,但是放到教務處或者後勤辦公室,一般都很難拿到這筆錢。所以每年系統掛了後,遇到臨時情況,教務處也只能是一籌莫展。 再來說驗證碼,就像微博上傳的,不少學生上淘寶或者其他渠道找人代刷課,甚至有的學生,專門寫腳本刷選課。伺服器的壓力超過大半來自這些機器代刷的量,這種大量並發用戶請求、大數據量發送情況造成的高負載,基於前面提到的原因,不可能指望學校在短時間內處理。 


川農大學生微博直接向校長投訴刷課外掛那麼,學校為了保證公平,最簡單有效的方案就是在教務系統部署驗證碼。除登錄場景外,在點擊選課之後,同樣需要輸入驗證碼。整體思路,跟某網上訂票平台對抗黃牛與外掛搶火車票是一個邏輯。中傳發現,驗證碼並沒有解決問題,無奈之下,中傳教務處找到外援清華大學信息化技術中心。


客觀原因:

第一、教務管理系統


全國各大高校的教務系統也不盡相同。不過較為普及的還是正X公司教務管理系統,目前全國接近1300多所高校都用的是他們家提供的教務系統。畢竟服務的都是全國985、211的院校代表,不會出現太大問題。但就說一點吧,很多同學反映的驗證碼顯示「X」,這個就跟網站的驗證碼採用FLASH形式顯示有關,沒安裝Adobe Flash Player ActiveX插件,你能刷出驗證碼才怪。



另外,IE7在很多情況下並不會提醒用戶安裝 Flash ActiveX控制項,所以很長一段時間,大家只能望著選課系統懷疑人生。


第二、課程及時間安排


之所以造成扎堆選課,甚至外掛刷選課現象,其實還是稀缺資源造成。這種「供不應求」表現為兩個極端:一方面,專業關聯優先與興趣優先,讓一些課成為熱門,比如,大學英語;另一方面,只交論文不考試、老師從不點名的課等比較好過的課被瘋搶,資源極為稀缺。


比如,體育課、游泳課。甚至在某些高校,出現私下換課,出錢「買」課現象。熱門課程的價格在50—100元不等,有的甚至高達兩三百。


第三、面對選課難,校方與學生如何應對?

極驗Magiccc:選課難問題並不是一個新鮮的事,在當前情況下,學校與學生之間,是怎麼處理這個問題的呢?


B妹:有錢的找淘寶,沒錢的找鬧鐘,佛系的隨緣:-考慮到選錯課可能會增加低分風險,而直接導致GPA下降,獎學金說沒就沒。淘寶找人代刷選課,但現在的問題是,萬能的淘寶也只能刷部門學校的選課系統。


所以面對進不去的教務系統,大家也很無奈;-還有就像我這樣的窮狗,只能早早的爬起來,去學校的網吧,或者圖書館。就是早那麼幾分鐘,讓我順利過關;-最後就是像我一個師姐,不爭不搶,就撿被人剩下的,也沒啥。


當然還有保底方案,我就聽說,有些學校只要專業分夠了,還可以花錢買學分。所以,只要不是太渣,都能混個畢業。


A君:

據我所知,目前各大高校都非常重視校園網路,並在逐年加大資金投入。比如:-條件好一些的學校,會選擇重新構建高校選課系統,配備多台伺服器部署選課系統,以應對選課高峰期的大規模並發訪問。甚至開始排查代碼質量以及架構問題;


另外一部分高校,在時間安排上做文章,錯開選課時間也能實現分流,減輕壓力。或者,在不影響課程質量的前提下,針對熱門課程進行擴編,以保證學生能夠有課可選。然後,針對惡意刷選課的現象,將目前的圖片驗證碼更換成體驗更佳的行為式驗證碼。就我所知道的,中山大學教務系統現在所使用的驗證碼就是極驗的行為式驗證碼了。這樣一來,有效的幫助學校解決了選課不平衡及部分學生無課可選的尷尬現狀。



中山大學教務系統與極驗「行為驗證」


可以發現,選課系統這個老大難問題始終是各大高校繞不過的坎,而這還只是校園網路裡面一個很小的環節。關於網站&APP的網路安全,運營管理等諸多問題這次並沒有被提及,例如:近些年頻發的高校以及政府網站被劫持,跳轉網路博彩、色情站點現象,都暴露出政府事業單位在網路安全建設上都存在不少的問題。

希望如A君所說,政府事業單位重視網站以及APP的安全以及運營管理工作,為大家提供一個更加安全,更加便捷,更具智慧的互聯網環境。再次感謝A君與B妹作為第一期《極匠三人行》的分享嘉賓,我們下一期再見。最後送上彩蛋,大家回復公眾號「榜單」,獲取本次高校選課系統評測結果(本次榜單,趣味交流為主,無意冒犯各大高校)。


*本文作者:GEETEST極驗,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

WordPress插件WooCommerce任意文件刪除漏洞分析
Web應用程序防火牆(WAF)bypass技術討論(一)

TAG:FreeBuf |