紫牛
【紫牛故事】“双11”将到,他们成天在网上找电商平台漏洞,不可言说……
2017-11-03 21:21:37

 

图片

 

图片

“双11”快到了,各家电商平台铺天盖地广告扑面而来,可是有一群大男孩却成天在电脑上研究各电商平台有啥漏洞。

what?他们想干什么?

别怕,他们不是打你钱包的主意,而是在为了维护你的钱包安全默默无闻地在做贡献。

大家都知道程序员,也知道黑客,那么你知道“白客”吗?

当然,不是你以为的这个白客,

 

图片

而是一群,与破坏网络的黑客相反的,维护网络安全的人。他们专攻各种安全漏洞。

 

设想一下,当一个招生页面出现漏洞,参加考生的所有个人信息都会被泄露;

当一个租车APP出现漏洞,就会给使用者带来来巨大的损失,太可怕!

图片

在常州信息职业技术学院,有这么一个宿舍,他们个个都是技术大牛!专攻网络漏洞!一个宿舍加起来获得的国家级“原创漏洞证明”书,多达150多张!

 

通讯员 黄丽娟 张煜 紫牛新闻记者 马奔 文/摄

编辑 张冰晶 陈迪晨

 

扬子晚报·紫牛新闻原创作品

转载拒绝任何形式删改

否则保留追究法律责任的权利

 

 

 

就在最近,常州信息职业技术学院安全162班刘康同学收到一张中国互联网协会网络与信息安全工作委员会、国家互联网应急中心国家信息安全漏洞共享平台联合颁发的“原创漏洞证明”。这已经不是刘康第一次收到该证书。“具体没有数,应该有70多张了。”他笑着告诉紫牛新闻记者。

 

租车APP验证码有漏洞 

他一分钟就破译了

 

 

谈到最近这次漏洞发现过程,刘康表示“纯属偶然”。这个学期开学没几天,他和朋友要去附近的银行办点事,为节省时间,他通过早就安装在手机上的某知名租电动车APP在学校门口租了辆车子,这个过程中他收到一个只有4位数的验证码,该验证码显示一分钟内有效。凭着专业敏感度,他脑子里立刻开始计算:理论上一个4位数的验证码,随机有1万种组合,用专业软件这1万种组合在一分钟之内可以破译。

         

图片

【刘康同学获得的原创漏洞证书,大概70多张了吧】


从银行办事回来后,他随即同宿舍小伙伴进行了符合法律规定的模拟破译测试,果然如预想的那样,这个租车APP存在任意爆破登录漏洞。他很快把漏洞的详细情况写成WORD文档,报送给平台。平台工作人员快速将信息反馈给相应厂商,没过几天刘康就发现学校门口的租车APP有了修改。“如果账号更换登录机器,多增加了一道验证程序,要上传该账户主人的身份证照方可使用。如此一来,安全多了。”刘康很自豪,觉得凭自己的技能,可以把潜在的危险规避,减少用户发生财产损失的风险。刘康的这一发现被国家信息安全漏洞共享平台界定为“中危漏洞”。而在刘康获得的70多张证书中,95%以上被平台界定为高危漏洞。

 

某知名国企网站“高危漏洞” 

一旦被入侵直接瘫痪

 

 

刘康又给紫牛新闻记者介绍了一个他今年暑假发现的“高危漏洞”。他在随机登录某知名大型国企网站的时候发现,虽然在后台页面找不到突破点,但是越过后台页面,登录到一个高级界面,通过技术手段就可以发现该网站后台很多参数都是可控性的,包括某些敏感数据、注册用户的所有信息都能修改。“万一遭到入侵,整个网站都会瘫痪,所有用户数据也将全部泄露。”刘康还给紫牛新闻记者打了个很生动的比方:“就像每户人家都有锁,并且这把锁很高级,一般人打不开。但有些人可以绕过大门,从其他地方进入屋内,把屋内的家具、家电进行修改,导致这个屋子里很多东西都会无法使用。”

         

刘康当天上午就把该漏洞详细情况上报到国家信息安全漏洞共享平台,当天下午该公司网站就对漏洞进行了修复。“一般政府、大型国企网站的漏洞,一旦发现都会在12小时内得到修复。”这是刘康以他多年经验得出的结论。

 

图片

【大一刚入校,刘康同学就表现出了对信息安全特有的兴趣】


 

不是传统意义的学霸  

却居信息安全官网“白帽子”前五

 

 

打开国家信息安全漏洞共享平台官方网站,首页就可以看到“白帽子原创积分排名”柱状图。在最新的排名中,刘康位列第五。“上周是第四,近三个月以来我都是排前五名,一般都能保持在前十名。”他向紫牛新闻记者介绍道:“白帽子是我们的行话,其实我们就是正面的黑客,是网络安全的守卫者。从专业上来讲我们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是向国家有关部门上报漏洞。这样系统可以在被其他人(例如黑帽子)利用之前修补漏洞。”

        

提起网络安全技术,刘康初一时就因为中美黑客大战而对网络渗透测试技术萌发兴趣。通过看书、看网上论坛、帖子等方式自学有关知识,并且随着了解的知识越多,对这方面技术的兴趣越来越浓厚。“当时年纪小,还犯了些小错误,所幸父母和长辈及时引导,没有误入歧途。”高考失利,没有考上本科,但刘康选择了常州信息职业技术学院的信息安全专业。大一刚入校,他就参加了学院的信息安全特产生工作室和兴趣小组,从大二、大三学长及指导老师那里学到很多原来不了解、不熟悉的知识和技术。大一下学期,他在专业教师的指导下集中训练一个月后,参加全国信息安全大赛江苏省赛,获二等奖。“虽然成绩不是特别理想,但通过这次比赛,我拓展了自己的专业知识面,提升了自己的专业技能。”刘康这样说道。

        

在常州信息职业技术学院学习期间,刘康还特别感激班主任老师,老师经常提醒他千万不要做违法的事情,还组织他们去校外参加专业方面的活动,比如大型信息安全企业的新产品发布会,让他了解最新的安全行业趋势和技术。

 

 

带领宿舍兄弟找漏洞    

全宿舍都是“白帽子”

 

 

和大学里很多男生宿舍不一样,刘康所在的宿舍没人玩网络游戏,宿舍成员都跟着刘康学找“漏洞”技术,如今也都是国家信息安全漏洞网络平台上的“白帽子”,每个人手上都有该平台颁发的原创漏洞证书,其中光邱梦宇同学就有30多张。目前,这个宿舍五个人加起来共有130多张原创漏洞证书。

         

邱梦宇算是刘康比较得意的“徒弟”了。他今年6月份无意中发现某市招生平台网上填报系统的网页参数上存在安全隐患,这一隐患有极大可能会泄露考生信息。邱梦宇将这一情况报送给平台,没过几天收到平台颁发给他的证书,证书上,这个漏洞被定为“高危”级别。

         

图片

【国家信息安全漏洞平台】


和刘康一个宿舍的封成森还记得大一刚报到进入宿舍的情形,“刘康给我们讲他的网络漏洞挖掘经历,而且只要一下课他就会在电脑前码代码、写程序,做一些在我们看来很高深的事情。”逐渐了解刘康的本领之后,宿舍其他三个成员以及隔壁宿舍的一位同学都对这个漏洞挖掘技术产生了浓厚的兴趣。刘康先给舍友们开了一个书单,让他们去学校图书馆把这些书找来看,遇到不懂的问题,他都会耐心为大家解答。他还经常在宿舍或者有多媒体设备的教室,给舍友们“上课”,详细教授些基础知识,还在电脑上给他们演示挖掘漏洞的过程。

       

图片

【刘康宿舍的小伙伴们】


在舍友陈真眼中,刘康对技术特别执着和专注。“他不仅自学网络漏洞挖掘技术,还会多种程序语言,最近看他还在学习新的程序语言,而且他还自学网站开发。他常常学习到晚上十一、二点,为了弄明白一个问题或者完成一项测试,宁愿不吃饭也要先把事情做好。宿舍有这么努力的榜样,我们都没有理由不努力了。”

 

大型网络安全公司聘他为“专员”  

 

 

由于刘康在平台上的积分长期位居前十,南京某大型网络安全公司的老总亲自在网络上联系到他,专门聘请他担任公司的技术人员。今年暑假,刘康去该公司南京本部实习一个月,底薪4000元,加提成一个月一共挣到近6000元。开学后刘康返回学校边学习,边作为兼职人员以底薪2000元的待遇协助该公司开展网络安全方面的工作。

 

说到这里,紫牛新闻安利一下我们招聘实习生的广告,刘康在校期间实习能挣那么多钱,紫牛新闻也为有志于新闻的学子们提供了一个带薪实习的机会。 

 

“刘康不仅是我们宿舍的技术大佬,也是我们班的技术牛人!”来自同一个宿舍的邱梦宇用敬佩的语气说道。

        

紫牛新闻记者了解到,刘康所就读的常州信息职业技术学院自2013年开始实施杰出人才培养工程,从满足学生多元化发展入手,根据专业秉赋与学生需求,创设不同的特长生工作室、技术技能竞赛平台、精英班、学习班、创业园(街、中心)等载体,按学生自愿与集中选拨相结合的原则,遴选出有兴趣、有基础、有潜质的学生进入相应的载体,集中院内外优质资源进行重点培养。目前,该校开展技能增强型、技术创新型、创业自强型杰出人才个性化培养。而刘康则属于从特长生工作室成长起来的动手能力强的技能增强型杰出人才。

限于刘康及他的小伙伴们从事的一些工作涉及到机密或者商业秘密,紫牛新闻记者不能为大家详细描述。好吧,让我们为这些“白帽子”为我们的网络安全做出的贡献点赞吧!


-END-

| 微矩阵

扬子晚报网(江苏扬子晚报有限公司)版权所有,未经授权不得转载或建立镜像 版权声明

地址:南京市建邺区江东中路369号新华报业传媒广场 邮编:210092 联系我们:025-96096(24小时)