发信人: Hsee (残花败柳), 信区: Pictures
标 题: 南大技术帝又露脸了,面临处分
发信站: 南京大学小百合站 (Fri Dec 28 13:54:48 2012)

南大大三“技术帝”入侵老师邮箱拿考卷改成绩 ---扬子晚报

南大大三“技术帝”发“神帖”炫耀
可入侵老师邮箱拿考卷改成绩
事后却表示歉意,仍可能面临校纪处分
扬子晚报网讯 据《江南时报》报道 昨天,一则南大大三学生发布的名为《如何通
过入侵老师邮箱拿到期末考卷和修改成绩》,在人人网上被疯狂转载,同学们都感叹这位
南大“技术帝”的深厚功力。事情虽然火了,但该生却被辅导员通知立即删除原文,甚至
可能面临被学校开除等校纪处分的危险。





[南大学生]
这个漏洞是无意中发现的
但最后还是没干坏事
前天夜里,南大软件学院大三学生小刘在人人网上发布了名为《如何通过入侵老师邮
箱拿到期末考卷和修改成绩》的帖子,几个小时之内,便被围观的同学疯狂转载,大家都
感叹这位南大“技术帝”的深厚功力。
刘同学写到,“先声明,这个漏洞是无意中发现的,我只是验证了它的可行性,但是
最后是没有干坏事的,否则被发现会被退学的。另外,我目测很多高校的邮箱系统都有这
样的漏洞(因为感觉以前的邮箱系统都不用框架开发),欢迎其它学校的同学去实践和验证
,但是还是不要做坏事哦。下面开始了……”
刘同学以入侵南大软件学院一位教务老师邮箱为例,图文并茂的方式将他的实验步骤
一点点呈现在文章中,很多重要的信息都用马赛克进行了涂鸦,并对一些详细的代码编程
一笔带过。
昨天上午8点半,他突然接到了辅导员的电话,这篇帖子被勒令立即删除。刘同学很快
便意识到自己做法的不妥,并在人人网上进行了解释。
记者了解到,刘同学并没有利用这样的漏洞牟取不当的利益,只是做个验证,并想通
过这篇帖子来呼吁学校教务系统对本身邮箱保密意识的提高。“如果真的想利用这种漏洞
做坏事,我自己就一个人偷着乐了,何必发出来供大家分享呢?”

[专家分析]
这样简单的网络攻击
其实比较常见
面对这样的事件,东南大学计算机学院教授程光也表达了自己的观点。他认为,这样
的攻击行为其实是比较常见的,尤其在国外,入侵他人邮箱的事件比比皆是。“举个常见
的例子,黑客盗用私人邮箱后,就可以修改邮箱本人的银行卡密码。大多数银行卡是与邮
箱绑定的,即使我们不知道银行卡原来的密码,也可通过密码重置,使用邮箱来获取新的
密码。而淘宝上也曾发生过这样的事。”
程教授说,其实刘同学所使用的xss攻击行为属于比较简单的方法,国外的黑客网站上
很容易就能搜索到具体的教程、工具和方法。尤其在美国、俄罗斯,这样的计算机操作很
普通。“其实有些对计算机感兴趣的高中生、大学生会去外网下载这样的程序,只需对源
代码做一定的改进,就可利用,火及一时的‘熊猫烧香’就是个例子。”
“不是所有的邮箱都有这样的问题。”程教授说,“有的邮箱直接进入脚本或
cookies,就不会那么容易被入侵。”当记者询问刘同学所提供的方法会否被别有用心的人
加以利用来获取不当利益时,他表示是有可能的,因为现在中国所使用的多数系统中漏洞
频频,很多人没有及时给系统打补丁,或是安装个人防火墙的习惯,因此,被入侵后可能
原使用者根本无从知晓。
另外,程教授也表示这样的行为在中国应该算得上是盗窃行为,不管入侵方有没有获
得相应的利益,更严重者,甚至需通过法律途径解决。“学校还是要加强自己教务系统的
安全管理,即使刘同学是在开玩笑,但利用漏洞来炫耀自己的技术,还是不可取的。”
[事件进展]
相关学生表示歉意
希望大家不要模仿
记者了解到,南大的刘同学就是今年9月初被“创新工厂CEO”李开复看中的南京大学
“技术帝”。今年7月,他为学校每个院系算出了“平均脸”,8月,他又通过网上的一个
视频中电话按键录音成功地获取360总裁周鸿祎的手机号码。
昨天下午,记者在刘同学的人人网看到,他发帖称,“在此,为我的冲动、浮躁和做
事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意
,对不起!而事情的结果会按照学校正常的处理流程得出。另外我还是希望此事对院邮,
其他学校的系统和受日志启发去思考和验证的同学会有积极的结果。”
目前,这件事弄得南大软件学院很尴尬,刘同学现在感觉压力也很大。
据知情人透露, “听说,现在刘同学的家长也来到学校,学校说要按照正常流程走,
学校、家长、学生三方协议,刘同学还要做个个人陈述,有可能他要遭到学校的处分。”
毕竟这件事造成了一定的坏影响,刘同学不应该把入侵邮箱的过程发到网上去,大家也担
心其他学校的学生会对此进行效仿。
刘同学本人则拒绝了记者的采访。
--
※ 来源:.南京大学小百合站 http://bbs.nju.edu.cn [FROM: 58.213.117.82]