新闻晨报:2014中国互联网安全大会,12岁熊孩子汪正扬,成了中国最小的黑客。还在清华附中读初一的他:为了不做作业,入侵了学校的在线答题系统;他利用黑客“抓包技术”,花1分钱买了2500元的东西…除了这些糗事,他还修复计算机漏洞100多个。
相关新闻:
清华附中学生汪正扬报告学校网站安全漏洞
今天是首个"首都网络安全日"。而就在此前一天,一位年仅12岁漏洞报告者刚刚向360库带计划报告了一个针对教育系统网站存在的安全漏洞。这是360库带计划目前为止遇到的年龄最小的一位漏洞报告者。报告材料显示,在某教育网平台可能存在安全隐患,允许入侵者查看任意他人的学分、成绩等信息。
这位年仅12岁的漏洞报告者是来自清华附中初一年级的汪正扬同学。他是北京市公安局、教委实施"网安启明星工程"校本课的小学员之一。别看只是初一年级,但已经有了近5年的网络安全技术的学习和实践经验。他也是4月27日举行的北京网络安全教育基地成立仪式上邀请的47位中小学生嘉宾中的一员。360公司总部也成为北京地区第一个网络安全教育基地。
北京网络安全教育基地是国内首个面向普通公众和中小学生网络安全教育基地,由北京市公安局,共青团市委和奇虎360公司等互联网安全企业共同发起成立。2014年4月27日,北京网络安全教育基地成立仪式在360公司总部举行。活动授课现场,汪正扬同学向360的安全专家表示,自己掌握了一个可能影响上百家教育类网站的安全漏洞。4月28日,这位同学在360库带计划官网上提交了漏洞说明材料。
我们从360库带计划的安全工程师计东那里了解到,汪正扬同学提交的实际上是一个弱口令漏洞。造成这种情况的主要原因是:很多教师使用了非常简单和常见的短密码,使他人可以比较容易的破解和登录教师帐号,进而可以查看他人的成绩、学分等信息。而网站系统在要求教师设置个人密码时,并未进行简单密码过滤,没有对教师设置的简单密码进行风险提示。目前,360库带计划已向相关建站平台开发厂商报告了此漏洞中的密码复杂度验证问题。
从严格意义上讲,汪正扬同学报告的弱口令漏洞还算不上是一个真正高危的网站安全漏洞,但确实是一种非常普遍存在的安全隐患。而且由于攻击成本低,攻击效率高,弱口令漏洞也往往是黑客入侵网站时首先攻击的安全漏洞。年仅12岁的初一学生汪正扬同学能够发现这些安全隐患,实属难能可贵。
这件事也告诉我们,社会公众亟须网络安全意识和安全防护技能培养,而普及安全意识,提高网民的安全素养和安全意识,正是北京网络安全教育基地成立的目的和意义所在。360公司将以开办网络安全教育基地为契机,持续不断通过一系列授课、实践等计划为青少年乃至社会网络安全意识的培养和网络安全技能教育贡献企业力量,网络安全同担,网络生活共享。
|