小伙子們拿到的國家級“原創(chuàng)漏洞證明”?！⒖?站立者)和他的小伙伴們。

　　“雙11”將至，他們在找電商平臺漏洞 這些小伙子干嗎呀？抱歉，不便言說

　　“雙11”快到了，各家電商平臺鋪天蓋地的廣告撲面而來，可是有一群大男孩卻成天在電腦上研究各電商平臺有啥漏洞——他們游走在網(wǎng)絡的“黑白之間”。大家都知道黑客，今天紫牛想說的是“白客”——一群與黑客相反、維護網(wǎng)絡安全的人。在常州信息職業(yè)技術學院，就有這么一個5人團隊，個個都是技術大牛，專攻網(wǎng)絡漏洞。他們獲得的國家級“原創(chuàng)漏洞證明”多達130多張，其中“老大”劉康同學一個人就拿了70多張。

　　通訊員 黃麗娟 張煜 記者 馬奔 文/攝

　　“白客”劉康

　　不是學霸，卻在官方排名中進了前五

　　劉康今年才20歲，讀大二。

　　打開國家信息安全漏洞共享平臺官方網(wǎng)站，就可以看到“白帽子原創(chuàng)積分排名”柱狀圖。在最新的排名中，劉康位列第五?！吧现苁堑谒?，近三個月以來我都是排前五名?！眲⒖蹈嬖V紫牛新聞記者：“白帽子是我們的行話，其實我們就是正面的黑客，是網(wǎng)絡安全的守衛(wèi)者。從專業(yè)上來講我們可以識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是向國家有關部門上報漏洞。這樣系統(tǒng)可以在被黑客利用之前修補漏洞?！?/p>

　　劉康初一時對網(wǎng)絡滲透測試技術萌發(fā)興趣。通過看書、看網(wǎng)上論壇等方式自學有關知識，并且隨著了解的知識越多，對這方面技術的興趣就越濃厚?！爱敃r年紀小，還犯了些小錯誤，所幸父母和長輩及時引導，沒有誤入歧途。”

　　高考失利，沒有考上本科，但劉康選擇了常州信息職業(yè)技術學院的信息安全專業(yè)。大一剛?cè)胄?，他就參加了學院的信息安全特長生工作室和興趣小組，從學長和老師那里學到很多原來不了解、不熟悉的知識和技術。大一下學期，他在集訓一個月后，參加全國信息安全大賽江蘇省賽，獲二等獎?！半m然成績不是特別理想，但通過這次比賽，我拓展了自己的專業(yè)知識面，提升了自己的專業(yè)技能?！?/p>

　　劉康還特別感激班主任，是這位可敬的長者經(jīng)常提醒他千萬不要做違法的事情，還組織他們?nèi)バＭ鈪⒓訉I(yè)方面的活動，了解最新的安全行業(yè)趨勢和技術。

　　帶領舍友找漏洞，5人團隊全“白帽子”

　　和大學里很多男生宿舍不一樣，劉康所在的宿舍沒人玩網(wǎng)絡游戲，幾個人都跟著劉康學找“漏洞”技術，如今也都是國家信息安全漏洞網(wǎng)絡平臺上的“白帽子”，每個人手上都有該平臺頒發(fā)的原創(chuàng)漏洞證明，其中光邱夢宇同學就有30多張，團隊五個人共有130多張。

　　邱夢宇算是劉康比較得意的“徒弟”了。他今年6月份無意中發(fā)現(xiàn)某市招生平臺網(wǎng)上填報系統(tǒng)的網(wǎng)頁參數(shù)上存在安全隱患，這一隱患有可能泄露考生信息。邱夢宇將這一情況報送給平臺，沒過幾天收到平臺頒發(fā)給他的證書——這個漏洞被定為“高危”。

　　舍友封成森還記得大一剛開學時的情形，“劉康給我們講他的網(wǎng)絡漏洞挖掘經(jīng)歷，做一些在我們看來很高深的事情?！?/p>

　　逐漸了解劉康的本領之后，宿舍其他三個成員以及隔壁宿舍的一位同學都對這個漏洞挖掘技術產(chǎn)生了濃厚的興趣。劉康先給舍友們開了一個書單，讓他們?nèi)W校圖書館把這些書找來看，遇到不懂的問題，他都會耐心為大家解答。他還經(jīng)常在宿舍或者有多媒體設備的教室，給舍友們“上課”，詳細教授些基礎知識，還在電腦上給他們演示挖掘漏洞的過程。

　　在舍友陳真眼中，劉康對技術特別執(zhí)著和專注?！八粌H自學網(wǎng)絡漏洞挖掘技術，還會多種程序語言，最近看他還在學習新的程序語言，而且他還自學網(wǎng)站開發(fā)。他常常學習到晚上十一二點，為了弄明白一個問題或者完成一項測試，寧愿不吃飯也要先把事情做好。宿舍有這么努力的榜樣，我們都沒有理由不努力了?！?/p>

　　他干的活，具體點說就是……

　　一分鐘破譯租車APP驗證碼漏洞

　　談到最近一次漏洞的發(fā)現(xiàn)過程，劉康表示“純屬偶然”。這個學期剛開學，他通過手機上的某知名電動車租賃APP在學校門口租了輛車子，這個過程中他收到一個只有4位數(shù)的驗證碼，該驗證碼顯示一分鐘內(nèi)有效。憑著專業(yè)敏感度，他腦子里立刻開始計算：理論上一個4位數(shù)的驗證碼，隨機有1萬種組合，用專業(yè)軟件這1萬種組合在一分鐘之內(nèi)可以破譯。

　　從銀行辦事回來后，他隨即同宿舍小伙伴進行了符合法律規(guī)定的模擬破譯測試，果然如預想的那樣，這個租車APP存在“任意爆破登錄漏洞”。他很快把漏洞的詳細情況報送給國家信息安全漏洞共享平臺。工作人員將信息反饋給相應廠商，沒過幾天劉康就發(fā)現(xiàn)學校門口的租車APP有了修改。

　　“如果賬號更換登錄機器，多增加了一道驗證程序，要上傳該賬號主人的身份證照方可使用。如此一來，安全多了。”劉康很自豪，覺得憑自己的技能，可以把潛在的危險規(guī)避，減少用戶發(fā)生財產(chǎn)損失的風險。劉康的這一發(fā)現(xiàn)被國家信息安全漏洞共享平臺界定為“中危漏洞”。

　　知名國企網(wǎng)站被他找到“高危漏洞”

　　劉康又給紫牛新聞記者介紹了一個他今年暑假發(fā)現(xiàn)的“高危漏洞”。

　　他在隨機登錄某知名大型國企網(wǎng)站的時候發(fā)現(xiàn)，雖然在后臺頁面找不到突破點，但是越過后臺頁面，登錄到一個高級界面，通過技術手段就可以發(fā)現(xiàn)該網(wǎng)站后臺很多參數(shù)都是可控性的，包括某些敏感數(shù)據(jù)、注冊用戶的所有信息都能修改?！叭f一遭到入侵，整個網(wǎng)站都會癱瘓，所有用戶數(shù)據(jù)也將全部泄露?！?/p>

　　劉康給紫牛新聞記者打了個比方：“這就像每戶人家都有鎖，并且這把鎖很高級，一般人打不開。但有些人可以繞過大門，從其他地方進入屋內(nèi)，把屋內(nèi)的家具、家電進行修改，導致這個屋子里很多東西都會無法使用。”

　　劉康當天上午就把該漏洞詳細情況上報到國家信息安全漏洞共享平臺，當天下午該公司網(wǎng)站就對漏洞進行了修復?！耙话阏?、大型國企網(wǎng)站的漏洞，一旦發(fā)現(xiàn)都會在12小時內(nèi)得到修復?！边@是劉康以他多年經(jīng)驗得出的結(jié)論。

　　工作不愁了

　　網(wǎng)絡安全公司 聘他為“專員”

　　由于劉康在平臺上的積分長期位居前十，南京某大型網(wǎng)絡安全公司的老總親自在網(wǎng)絡上聯(lián)系到他，專門聘請他擔任公司的技術人員。今年暑假，劉康去該公司南京本部實習一個月，底薪4000元，加提成一個月一共掙到近6000元。開學后劉康返回學校邊學習，邊作為兼職人員以底薪2000元的待遇協(xié)助該公司開展網(wǎng)絡安全方面的工作。這個目前讀大二的男生工作是不愁了。

　　紫牛新聞記者了解到，劉康所就讀的常州信息職業(yè)技術學院自2013年開始實施杰出人才培養(yǎng)工程，從滿足學生多元化發(fā)展入手，根據(jù)專業(yè)稟賦與學生需求，創(chuàng)設不同的特長生工作室、技術技能競賽平臺、精英班、學習班、創(chuàng)業(yè)園(街、中心)等載體，按學生自愿與集中選拔相結(jié)合的原則，遴選出有興趣、有基礎、有潛質(zhì)的學生進入相應的載體，集中院內(nèi)外優(yōu)質(zhì)資源進行重點培養(yǎng)。目前，該校開展技能增強型、技術創(chuàng)新型、創(chuàng)業(yè)自強型杰出人才個性化培養(yǎng)。劉康正是這個工程的受益者之一。

　　(因劉康團隊從事的一些工作涉及到機密或商業(yè)秘密，紫牛新聞不便詳細描述，敬請諒解。)

?

?

相關鏈接：

?