Skip to main content

安全测试和支持

安全性测试

Blackboard 在代码级别(静态分析)和应用程序级别(动态分析)执行持续内部安全性测试,以确保其符合 Blackboard 和客户的期望。此外,为了定期了解应用程序的最新情况,Blackboard 会从第三方安全供应商处获得安全性渗透测试。发现的任何问题都会得到快速修复。

静态应用程序安全测试

Blackboard 利用开源和商业静态分析扫描程序来持续评估 Blackboard 源代码。通过这些工具,Blackboard 可以在系统与构建环境集成而不断演进升级的过程中,发现源代码中的潜在漏洞。通过手动代码复查,Blackboard 会结合进行自动源代码分析,以查找安全漏洞。

动态应用安全测试

Blackboard 利用开源和商业动态分析扫描程序来持续评估 Blackboard 应用。自动安全扫描程序可从最终用户的视角来测试常见的 Web 应用程序漏洞。

手动渗透测试

静态和动态应用程序安全工具无法检测所有安全问题。为了进一步降低安全风险,Blackboard 会执行手动渗透测试,以识别更复杂的安全漏洞和业务逻辑问题(如不正确的授权)。

安全更新和公告

Blackboard 致力于及时识别、沟通和解决我们产品中发现的安全漏洞。Blackboard 通过Anthology 全球支持发布安全补丁和公告。

发布安全公告时包含以下信息:

  • 公告 ID - 用于知识库跟踪目的

  • 标题 - 受影响区域的简要描述

  • 发行日期

  • 严厉

公告之后是详细说明安全漏洞性质的漏洞概述、描述系统可能受到的影响的功能问题概述、受影响的产品版本列表、发现描述以及解决方案描述以及指向适用补丁的链接。Blackboard 还跟踪我们的客户,并就任何已知的利用或恶意使用安全漏洞向我们的客户提供建议。缓解措施和解决方法部分介绍了客户端可能采取的任何缓解措施,或者是否有可用的解决方法。如果公告有多个修订,则会提供更新的简短摘要。

安全漏洞评分

Blackboard 遵循 CVSSv2(通用漏洞评分系统 2.0 版)的行业标准作为指导方针。客户可以使用我们的严重性评级作为指导,以帮助对 Blackboard 中发现的安全问题的影响进行分类。它基于平均使用情况,因为并非所有漏洞对所有用户的影响都相同 - 例如,客户可能没有启用受影响的模块,或者其对模块的使用可能不包含与其他客户一样的关键信息。

输入验证筛选器

输入有效性筛选器作为保护 Blackboard Learn 的第一条防线,其具有可配置的规则。从某种意义上说,它就像 Blackboard 的防火墙。它通过默认规则集来净化数据,从而确保传入的用户请求是安全的。

替代机构管理设置

备用域

从替代机构管理呈现用户上传的文件是一种深度防御安全控制。通过上传包含潜在恶意脚本的内容,一旦目标用户访问受影响的内容,用户可能会在主 Blackboard 会话上执行会话劫持。

作为针对此类活动的一种防御方式,用户现在可以访问用户上传的文件并通过替代机构管理添加自定义 HTML。此安全控制利用浏览器安全功能,即“同源策略”。因此,在一个域或子域中呈现的用户上传文件中的恶意脚本与主 Blackboard 会话的 Cookie 隔离,从而与会话信息隔离。

此安全控制是 Blackboard 安全框架中的另一个防御层,可进一步保护用户免受潜在有恶意的用户上传文件的侵扰。

Blackboard 建议管理员在其所有 Blackboard 实施上配置此安全控制。这是 Blackboard 安全最佳实践。

用于呈现内容的单独域

单独的机构管理或子机构管理提供从 Blackboard Learn 服务器访问用户上传文件的更安全方式。此单独的机构管理有助于防止使用包含恶意脚本的用户上传内容损害用户的 Blackboard Learn 会话,从而损害用户数据。通过配置单独的机构管理或子机构管理,所有内容均从原始机构管理传送到单独的机构管理,这本质上是将内容转发到单独的机构管理。对于用户,这是完全无缝的。

如果用户上传的文件包含用于执行会话劫持的恶意脚本,则浏览器的安全控制(即“同源策略”)会帮助阻止用户的文件呈现会话访问用户的主会话。用户的主会话用于诸如参加评估、查看成绩等活动。因此,攻击会被隔离,且影响将受限制。尽管攻击者可能会获得对自己通常无权访问的内容的访问权限,但无法获得对被攻击者的主会话或整个站点的访问权限。

特别说明

位于备用主机名的 Blackboard 服务器将仅响应 webdav 请求。

任何响应备用主机名请求的 Blackboard 安装都不能用于执行正常的 Blackboard 功能。因此,主页面和其他类似的替代文件主机名不能使用与文件机构管理相同的主机名。

启用备用域时,备用域信息是预先配置的。我们建议不要更改这些预配置值,因为 Blackboard 仅支持一个备用域。如果确实要更改预配置值,可以选择使用:

  • blackboard.com

  • 网站的域(如果您使用虚 URL)

启用备用域以提供内容

警告

设置单独的机构管理时,请勿使用您为主页面设置的主机名。如果有,您的主页面将无法正常工作。

  1. 导航到管理员面板 > 安全性 > 用于提供内容的替代机构管理

  2. 选择该框可启用用于提供内容的替代机构管理

  3. 信息会通过预配置的内容填充。

    注意

    我们建议不要更改这些预配置值,因为 Blackboard 仅支持一个备用域。如果确实要更改预配置的值,可以选择使用 blackboard.com 或站点的域(如果使用虚URL)。

  4. 选择提交

重要

如果配置替代机构管理后 HTML 创作未能加载,请与支持人员联系,确保您的环境机构管理设置和配置正确。在“管理员面板”>“安全性”>“主机名配置”下检查您的主机名配置设置

关闭用于投放内容的备用网域

  1. 导航到管理员面板 > 安全性 > 用于提供内容的替代机构管理

  2. 选中该框以关闭用于提供内容的备用域

  3. 选择提交

添加 HTML

添加自定义 HTML 或 CSS

在 Ultra 课程视图中,当您为站点启用备用域时,您现在可以在文档中使用自定义 HTML 或 CSS。选择添加 HTML 作为新块,在文档中嵌入内联第三方 HTML 编辑器。您可以编写 HTML 代码或粘贴到编辑器中,然后选择保存。编码的 HTML 将在 BbML 中发送到 Blackboard 以进行持久化。该 HTML 将在 BbML 中使用新的 data-bbtype 进行表示。如果您以只读模式加载先前创建的包含 HTML 的 BbML,HTML 将从 iframe 的独立域中加载。

新的 CodeEditor 包处理第三方编辑器所需的所有导入,并规范编辑器配置。否则,包将仅提供编辑器用于将其嵌入DOM元素的方法。在页面上嵌入编辑器的指令和插件将取决于该包。

在左侧,“构建文档”窗口显示以紫色突出显示的“添加 HTML”选项。箭头指向右上角的一个窗口,其中 HTML 已添加到 HTML 编辑器中。该窗口的右下角有“保存”和“取消”按钮。箭头指向右下角的一个窗口,该窗口显示分子的三维模型,屏幕上有一个播放按钮。

您的机构必须配置备用域,并且课程角色需要具有将包含脚本的嵌入内容添加到 iframe 才能使用此功能。为了支持更增强的安全性并保持 Ultra 体验的响应能力,我们使用 Blackboard 中的现有解决方案来支持此功能。如果您已经配置了备用域,则您的教师有权在 Ultra 课程视图文档中添加 HTML。

重要

如果在配置备用域后无法加载 HTML 创作,请与支持人员联系,以确保您的环境域已正确设置和配置。