江蘇大學生組建“白客”團隊 一分鐘破譯租車APP漏洞

小伙子們拿到的國家級“原創漏洞證明”?！⒖?站立者)和他的小伙伴們。

　　“雙11”將至，他們在找電商平臺漏洞 這些小伙子干嗎呀？抱歉，不便言說

　　“雙11”快到了，各家電商平臺鋪天蓋地的廣告撲面而來，可是有一群大男孩卻成天在電腦上研究各電商平臺有啥漏洞——他們游走在網絡的“黑白之間”。大家都知道黑客，今天紫牛想說的是“白客”——一群與黑客相反、維護網絡安全的人。在常州信息職業技術學院，就有這么一個5人團隊，個個都是技術大牛，專攻網絡漏洞。他們獲得的國家級“原創漏洞證明”多達130多張，其中“老大”劉康同學一個人就拿了70多張。

　　通訊員 黃麗娟 張煜 記者 馬奔 文/攝

　　“白客”劉康

　　不是學霸，卻在官方排名中進了前五

　　劉康今年才20歲，讀大二。

　　打開國家信息安全漏洞共享平臺官方網站，就可以看到“白帽子原創積分排名”柱狀圖。在最新的排名中，劉康位列第五。“上周是第四，近三個月以來我都是排前五名。”劉康告訴紫牛新聞記者：“白帽子是我們的行話，其實我們就是正面的黑客，是網絡安全的守衛者。從專業上來講我們可以識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是向國家有關部門上報漏洞。這樣系統可以在被黑客利用之前修補漏洞?！?/p>

　　劉康初一時對網絡滲透測試技術萌發興趣。通過看書、看網上論壇等方式自學有關知識，并且隨著了解的知識越多，對這方面技術的興趣就越濃厚。“當時年紀小，還犯了些小錯誤，所幸父母和長輩及時引導，沒有誤入歧途?！?/p>

　　高考失利，沒有考上本科，但劉康選擇了常州信息職業技術學院的信息安全專業。大一剛入校，他就參加了學院的信息安全特長生工作室和興趣小組，從學長和老師那里學到很多原來不了解、不熟悉的知識和技術。大一下學期，他在集訓一個月后，參加全國信息安全大賽江蘇省賽，獲二等獎?！半m然成績不是特別理想，但通過這次比賽，我拓展了自己的專業知識面，提升了自己的專業技能。”

　　劉康還特別感激班主任，是這位可敬的長者經常提醒他千萬不要做違法的事情，還組織他們去校外參加專業方面的活動，了解最新的安全行業趨勢和技術。

　　帶領舍友找漏洞，5人團隊全“白帽子”

　　和大學里很多男生宿舍不一樣，劉康所在的宿舍沒人玩網絡游戲，幾個人都跟著劉康學找“漏洞”技術，如今也都是國家信息安全漏洞網絡平臺上的“白帽子”，每個人手上都有該平臺頒發的原創漏洞證明，其中光邱夢宇同學就有30多張，團隊五個人共有130多張。

　　邱夢宇算是劉康比較得意的“徒弟”了。他今年6月份無意中發現某市招生平臺網上填報系統的網頁參數上存在安全隱患，這一隱患有可能泄露考生信息。邱夢宇將這一情況報送給平臺，沒過幾天收到平臺頒發給他的證書——這個漏洞被定為“高危”。

　　舍友封成森還記得大一剛開學時的情形，“劉康給我們講他的網絡漏洞挖掘經歷，做一些在我們看來很高深的事情?！?/p>

　　逐漸了解劉康的本領之后，宿舍其他三個成員以及隔壁宿舍的一位同學都對這個漏洞挖掘技術產生了濃厚的興趣。劉康先給舍友們開了一個書單，讓他們去學校圖書館把這些書找來看，遇到不懂的問題，他都會耐心為大家解答。他還經常在宿舍或者有多媒體設備的教室，給舍友們“上課”，詳細教授些基礎知識，還在電腦上給他們演示挖掘漏洞的過程。

　　在舍友陳真眼中，劉康對技術特別執著和專注?！八粌H自學網絡漏洞挖掘技術，還會多種程序語言，最近看他還在學習新的程序語言，而且他還自學網站開發。他常常學習到晚上十一二點，為了弄明白一個問題或者完成一項測試，寧愿不吃飯也要先把事情做好。宿舍有這么努力的榜樣，我們都沒有理由不努力了?！?/p>

　　他干的活，具體點說就是……

　　一分鐘破譯租車APP驗證碼漏洞

　　談到最近一次漏洞的發現過程，劉康表示“純屬偶然”。這個學期剛開學，他通過手機上的某知名電動車租賃APP在學校門口租了輛車子，這個過程中他收到一個只有4位數的驗證碼，該驗證碼顯示一分鐘內有效。憑著專業敏感度，他腦子里立刻開始計算：理論上一個4位數的驗證碼，隨機有1萬種組合，用專業軟件這1萬種組合在一分鐘之內可以破譯。

　　從銀行辦事回來后，他隨即同宿舍小伙伴進行了符合法律規定的模擬破譯測試，果然如預想的那樣，這個租車APP存在“任意爆破登錄漏洞”。他很快把漏洞的詳細情況報送給國家信息安全漏洞共享平臺。工作人員將信息反饋給相應廠商，沒過幾天劉康就發現學校門口的租車APP有了修改。

　　“如果賬號更換登錄機器，多增加了一道驗證程序，要上傳該賬號主人的身份證照方可使用。如此一來，安全多了?！眲⒖岛茏院?，覺得憑自己的技能，可以把潛在的危險規避，減少用戶發生財產損失的風險。劉康的這一發現被國家信息安全漏洞共享平臺界定為“中危漏洞”。

　　知名國企網站被他找到“高危漏洞”

　　劉康又給紫牛新聞記者介紹了一個他今年暑假發現的“高危漏洞”。

　　他在隨機登錄某知名大型國企網站的時候發現，雖然在后臺頁面找不到突破點，但是越過后臺頁面，登錄到一個高級界面，通過技術手段就可以發現該網站后臺很多參數都是可控性的，包括某些敏感數據、注冊用戶的所有信息都能修改?！叭f一遭到入侵，整個網站都會癱瘓，所有用戶數據也將全部泄露?！?/p>

　　劉康給紫牛新聞記者打了個比方：“這就像每戶人家都有鎖，并且這把鎖很高級，一般人打不開。但有些人可以繞過大門，從其他地方進入屋內，把屋內的家具、家電進行修改，導致這個屋子里很多東西都會無法使用?！?/p>

　　劉康當天上午就把該漏洞詳細情況上報到國家信息安全漏洞共享平臺，當天下午該公司網站就對漏洞進行了修復?！耙话阏⒋笮蛧缶W站的漏洞，一旦發現都會在12小時內得到修復。”這是劉康以他多年經驗得出的結論。

　　工作不愁了

　　網絡安全公司 聘他為“專員”

　　由于劉康在平臺上的積分長期位居前十，南京某大型網絡安全公司的老總親自在網絡上聯系到他，專門聘請他擔任公司的技術人員。今年暑假，劉康去該公司南京本部實習一個月，底薪4000元，加提成一個月一共掙到近6000元。開學后劉康返回學校邊學習，邊作為兼職人員以底薪2000元的待遇協助該公司開展網絡安全方面的工作。這個目前讀大二的男生工作是不愁了。

　　紫牛新聞記者了解到，劉康所就讀的常州信息職業技術學院自2013年開始實施杰出人才培養工程，從滿足學生多元化發展入手，根據專業稟賦與學生需求，創設不同的特長生工作室、技術技能競賽平臺、精英班、學習班、創業園(街、中心)等載體，按學生自愿與集中選拔相結合的原則，遴選出有興趣、有基礎、有潛質的學生進入相應的載體，集中院內外優質資源進行重點培養。目前，該校開展技能增強型、技術創新型、創業自強型杰出人才個性化培養。劉康正是這個工程的受益者之一。

　　(因劉康團隊從事的一些工作涉及到機密或商業秘密，紫牛新聞不便詳細描述，敬請諒解。)

?

?

相關鏈接：

?