江蘇大學(xué)生組建“白客”團(tuán)隊(duì) 一分鐘破譯租車APP漏洞

小伙子們拿到的國(guó)家級(jí)“原創(chuàng)漏洞證明”。　劉康(站立者)和他的小伙伴們。

　　“雙11”將至，他們?cè)谡译娚唐脚_(tái)漏洞 這些小伙子干嗎呀？抱歉，不便言說(shuō)

　　“雙11”快到了，各家電商平臺(tái)鋪天蓋地的廣告撲面而來(lái)，可是有一群大男孩卻成天在電腦上研究各電商平臺(tái)有啥漏洞——他們游走在網(wǎng)絡(luò)的“黑白之間”。大家都知道黑客，今天紫牛想說(shuō)的是“白客”——一群與黑客相反、維護(hù)網(wǎng)絡(luò)安全的人。在常州信息職業(yè)技術(shù)學(xué)院，就有這么一個(gè)5人團(tuán)隊(duì)，個(gè)個(gè)都是技術(shù)大牛，專攻網(wǎng)絡(luò)漏洞。他們獲得的國(guó)家級(jí)“原創(chuàng)漏洞證明”多達(dá)130多張，其中“老大”劉康同學(xué)一個(gè)人就拿了70多張。

　　通訊員 黃麗娟 張煜 記者 馬奔 文/攝

　　“白客”劉康

　　不是學(xué)霸，卻在官方排名中進(jìn)了前五

　　劉康今年才20歲，讀大二。

　　打開(kāi)國(guó)家信息安全漏洞共享平臺(tái)官方網(wǎng)站，就可以看到“白帽子原創(chuàng)積分排名”柱狀圖。在最新的排名中，劉康位列第五。“上周是第四，近三個(gè)月以來(lái)我都是排前五名。”劉康告訴紫牛新聞?dòng)浾撸骸鞍酌弊邮俏覀兊男性挘鋵?shí)我們就是正面的黑客，是網(wǎng)絡(luò)安全的守衛(wèi)者。從專業(yè)上來(lái)講我們可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是向國(guó)家有關(guān)部門上報(bào)漏洞。這樣系統(tǒng)可以在被黑客利用之前修補(bǔ)漏洞。”

　　劉康初一時(shí)對(duì)網(wǎng)絡(luò)滲透測(cè)試技術(shù)萌發(fā)興趣。通過(guò)看書、看網(wǎng)上論壇等方式自學(xué)有關(guān)知識(shí)，并且隨著了解的知識(shí)越多，對(duì)這方面技術(shù)的興趣就越濃厚。“當(dāng)時(shí)年紀(jì)小，還犯了些小錯(cuò)誤，所幸父母和長(zhǎng)輩及時(shí)引導(dǎo)，沒(méi)有誤入歧途。”

　　高考失利，沒(méi)有考上本科，但劉康選擇了常州信息職業(yè)技術(shù)學(xué)院的信息安全專業(yè)。大一剛?cè)胄＃蛥⒓恿藢W(xué)院的信息安全特長(zhǎng)生工作室和興趣小組，從學(xué)長(zhǎng)和老師那里學(xué)到很多原來(lái)不了解、不熟悉的知識(shí)和技術(shù)。大一下學(xué)期，他在集訓(xùn)一個(gè)月后，參加全國(guó)信息安全大賽江蘇省賽，獲二等獎(jiǎng)。“雖然成績(jī)不是特別理想，但通過(guò)這次比賽，我拓展了自己的專業(yè)知識(shí)面，提升了自己的專業(yè)技能。”

　　劉康還特別感激班主任，是這位可敬的長(zhǎng)者經(jīng)常提醒他千萬(wàn)不要做違法的事情，還組織他們?nèi)バＭ鈪⒓訉I(yè)方面的活動(dòng)，了解最新的安全行業(yè)趨勢(shì)和技術(shù)。

　　帶領(lǐng)舍友找漏洞，5人團(tuán)隊(duì)全“白帽子”

　　和大學(xué)里很多男生宿舍不一樣，劉康所在的宿舍沒(méi)人玩網(wǎng)絡(luò)游戲，幾個(gè)人都跟著劉康學(xué)找“漏洞”技術(shù)，如今也都是國(guó)家信息安全漏洞網(wǎng)絡(luò)平臺(tái)上的“白帽子”，每個(gè)人手上都有該平臺(tái)頒發(fā)的原創(chuàng)漏洞證明，其中光邱夢(mèng)宇同學(xué)就有30多張，團(tuán)隊(duì)五個(gè)人共有130多張。

　　邱夢(mèng)宇算是劉康比較得意的“徒弟”了。他今年6月份無(wú)意中發(fā)現(xiàn)某市招生平臺(tái)網(wǎng)上填報(bào)系統(tǒng)的網(wǎng)頁(yè)參數(shù)上存在安全隱患，這一隱患有可能泄露考生信息。邱夢(mèng)宇將這一情況報(bào)送給平臺(tái)，沒(méi)過(guò)幾天收到平臺(tái)頒發(fā)給他的證書——這個(gè)漏洞被定為“高危”。

　　舍友封成森還記得大一剛開(kāi)學(xué)時(shí)的情形，“劉康給我們講他的網(wǎng)絡(luò)漏洞挖掘經(jīng)歷，做一些在我們看來(lái)很高深的事情。”

　　逐漸了解劉康的本領(lǐng)之后，宿舍其他三個(gè)成員以及隔壁宿舍的一位同學(xué)都對(duì)這個(gè)漏洞挖掘技術(shù)產(chǎn)生了濃厚的興趣。劉康先給舍友們開(kāi)了一個(gè)書單，讓他們?nèi)W(xué)校圖書館把這些書找來(lái)看，遇到不懂的問(wèn)題，他都會(huì)耐心為大家解答。他還經(jīng)常在宿舍或者有多媒體設(shè)備的教室，給舍友們“上課”，詳細(xì)教授些基礎(chǔ)知識(shí)，還在電腦上給他們演示挖掘漏洞的過(guò)程。

　　在舍友陳真眼中，劉康對(duì)技術(shù)特別執(zhí)著和專注。“他不僅自學(xué)網(wǎng)絡(luò)漏洞挖掘技術(shù)，還會(huì)多種程序語(yǔ)言，最近看他還在學(xué)習(xí)新的程序語(yǔ)言，而且他還自學(xué)網(wǎng)站開(kāi)發(fā)。他常常學(xué)習(xí)到晚上十一二點(diǎn)，為了弄明白一個(gè)問(wèn)題或者完成一項(xiàng)測(cè)試，寧愿不吃飯也要先把事情做好。宿舍有這么努力的榜樣，我們都沒(méi)有理由不努力了。”

　　他干的活，具體點(diǎn)說(shuō)就是……

　　一分鐘破譯租車APP驗(yàn)證碼漏洞

　　談到最近一次漏洞的發(fā)現(xiàn)過(guò)程，劉康表示“純屬偶然”。這個(gè)學(xué)期剛開(kāi)學(xué)，他通過(guò)手機(jī)上的某知名電動(dòng)車租賃APP在學(xué)校門口租了輛車子，這個(gè)過(guò)程中他收到一個(gè)只有4位數(shù)的驗(yàn)證碼，該驗(yàn)證碼顯示一分鐘內(nèi)有效。憑著專業(yè)敏感度，他腦子里立刻開(kāi)始計(jì)算：理論上一個(gè)4位數(shù)的驗(yàn)證碼，隨機(jī)有1萬(wàn)種組合，用專業(yè)軟件這1萬(wàn)種組合在一分鐘之內(nèi)可以破譯。

　　從銀行辦事回來(lái)后，他隨即同宿舍小伙伴進(jìn)行了符合法律規(guī)定的模擬破譯測(cè)試，果然如預(yù)想的那樣，這個(gè)租車APP存在“任意爆破登錄漏洞”。他很快把漏洞的詳細(xì)情況報(bào)送給國(guó)家信息安全漏洞共享平臺(tái)。工作人員將信息反饋給相應(yīng)廠商，沒(méi)過(guò)幾天劉康就發(fā)現(xiàn)學(xué)校門口的租車APP有了修改。

　　“如果賬號(hào)更換登錄機(jī)器，多增加了一道驗(yàn)證程序，要上傳該賬號(hào)主人的身份證照方可使用。如此一來(lái)，安全多了。”劉康很自豪，覺(jué)得憑自己的技能，可以把潛在的危險(xiǎn)規(guī)避，減少用戶發(fā)生財(cái)產(chǎn)損失的風(fēng)險(xiǎn)。劉康的這一發(fā)現(xiàn)被國(guó)家信息安全漏洞共享平臺(tái)界定為“中危漏洞”。

　　知名國(guó)企網(wǎng)站被他找到“高危漏洞”

　　劉康又給紫牛新聞?dòng)浾呓榻B了一個(gè)他今年暑假發(fā)現(xiàn)的“高危漏洞”。

　　他在隨機(jī)登錄某知名大型國(guó)企網(wǎng)站的時(shí)候發(fā)現(xiàn)，雖然在后臺(tái)頁(yè)面找不到突破點(diǎn)，但是越過(guò)后臺(tái)頁(yè)面，登錄到一個(gè)高級(jí)界面，通過(guò)技術(shù)手段就可以發(fā)現(xiàn)該網(wǎng)站后臺(tái)很多參數(shù)都是可控性的，包括某些敏感數(shù)據(jù)、注冊(cè)用戶的所有信息都能修改。“萬(wàn)一遭到入侵，整個(gè)網(wǎng)站都會(huì)癱瘓，所有用戶數(shù)據(jù)也將全部泄露。”

　　劉康給紫牛新聞?dòng)浾叽蛄藗€(gè)比方：“這就像每戶人家都有鎖，并且這把鎖很高級(jí)，一般人打不開(kāi)。但有些人可以繞過(guò)大門，從其他地方進(jìn)入屋內(nèi)，把屋內(nèi)的家具、家電進(jìn)行修改，導(dǎo)致這個(gè)屋子里很多東西都會(huì)無(wú)法使用。”

　　劉康當(dāng)天上午就把該漏洞詳細(xì)情況上報(bào)到國(guó)家信息安全漏洞共享平臺(tái)，當(dāng)天下午該公司網(wǎng)站就對(duì)漏洞進(jìn)行了修復(fù)。“一般政府、大型國(guó)企網(wǎng)站的漏洞，一旦發(fā)現(xiàn)都會(huì)在12小時(shí)內(nèi)得到修復(fù)。”這是劉康以他多年經(jīng)驗(yàn)得出的結(jié)論。

　　工作不愁了

　　網(wǎng)絡(luò)安全公司 聘他為“專員”

　　由于劉康在平臺(tái)上的積分長(zhǎng)期位居前十，南京某大型網(wǎng)絡(luò)安全公司的老總親自在網(wǎng)絡(luò)上聯(lián)系到他，專門聘請(qǐng)他擔(dān)任公司的技術(shù)人員。今年暑假，劉康去該公司南京本部實(shí)習(xí)一個(gè)月，底薪4000元，加提成一個(gè)月一共掙到近6000元。開(kāi)學(xué)后劉康返回學(xué)校邊學(xué)習(xí)，邊作為兼職人員以底薪2000元的待遇協(xié)助該公司開(kāi)展網(wǎng)絡(luò)安全方面的工作。這個(gè)目前讀大二的男生工作是不愁了。

　　紫牛新聞?dòng)浾吡私獾剑瑒⒖邓妥x的常州信息職業(yè)技術(shù)學(xué)院自2013年開(kāi)始實(shí)施杰出人才培養(yǎng)工程，從滿足學(xué)生多元化發(fā)展入手，根據(jù)專業(yè)稟賦與學(xué)生需求，創(chuàng)設(shè)不同的特長(zhǎng)生工作室、技術(shù)技能競(jìng)賽平臺(tái)、精英班、學(xué)習(xí)班、創(chuàng)業(yè)園(街、中心)等載體，按學(xué)生自愿與集中選拔相結(jié)合的原則，遴選出有興趣、有基礎(chǔ)、有潛質(zhì)的學(xué)生進(jìn)入相應(yīng)的載體，集中院內(nèi)外優(yōu)質(zhì)資源進(jìn)行重點(diǎn)培養(yǎng)。目前，該校開(kāi)展技能增強(qiáng)型、技術(shù)創(chuàng)新型、創(chuàng)業(yè)自強(qiáng)型杰出人才個(gè)性化培養(yǎng)。劉康正是這個(gè)工程的受益者之一。

　　(因劉康團(tuán)隊(duì)從事的一些工作涉及到機(jī)密或商業(yè)秘密，紫牛新聞不便詳細(xì)描述，敬請(qǐng)諒解。)

?

?

相關(guān)鏈接：

?