行侠仗义的网络安全“白客”
13 岁,他因中美黑客大战对网络渗透测试技术萌发兴趣,从此 一发不可收拾。16 岁,他仅用几分钟就发现并修复考试院小高考报 名系统的漏洞,及时保护了全省考生的个人隐私及省考试院的重要 数据。19 岁,他开始不断自学网络漏洞挖掘技能,至今已拿到 70 多 张中国互联网协会网络与信息安全工作委员会、国家互联网应急中 心、国家信息安全漏洞共享平台联合颁发的“原创漏洞证明”。今天, 在国家信息安全漏洞共享平台官方网站最新的排名中,作为在校大 学生的他已位列第五。在学校,他是老师和同学们眼中的网络技术 大佬、牛人。他就是常州信息职业技术学院网络与通信工程学院信 息安全专业 2016 级学生刘康。
技从兴趣,跻身白客官方排名五甲
刘康出生在苏北农村家庭,朴实憨厚的父母一直认为只有读好 书才是唯一的出路。可是刘康却不这么认为,他觉得爱好和兴趣才 是最重要的。进入初中第一次接触了电脑,他就产生了极强的好奇心, 当他得知某某国家敏感单位被黑客攻击、某单位因黑客攻击导致了 N 万的个人信息泄露并引发诈骗案件的频发等新闻后,强烈的好奇心 和强大的责任心促使刘康毅然选择在网络安全这个方向前行,立志 成为一名维护网络安全的“白客”!
初中时,刘康就对网络渗透测试技术萌发了浓厚的兴趣。通过看书、看网上论坛等方式自学有关知识,并且随着了解的知识越多,对这方面技术的兴趣就越浓厚。为了购买网络技术学习书籍,他省下自己的生活费,有时候一天只吃一顿饭,除了上课,其他的时间 刘康都用来学习网络渗透测试技术。在学习几个月后,他第一次靠自己掌握的知识技术找到了某个企业的网络漏洞,第一次能够将网络管理员的账号拿到手,那种成就感一次又一次地激发着刘康向着 更高的目标进发。高考后,刘康抱着对网络安全技术的无比痴迷,他选择了常州信息职业技术学院的信息安全专业。大一刚入校,他就参加了学院的信息安全特长生工作室和兴趣小组,从学长和老师 那里就学到了很多原来不了解、不熟悉的知识和技术。大一下学期,他在集训一个月后,就参加了全国信息安全大赛江苏省赛,并荣获了二等奖。平时,刘康不满足于学校的学习,在班主任和专业老师 的带领下经常去校外参加专业方面的各种活动,了解最新的安全行 业趋势和技术,不断提高自己的技能。现在,打开国家信息安全漏 洞共享平台官方网站,首页就可以看到“白帽子(即网络安全的守 卫者,他们可以专业地识别计算机系统或网络系统中的安全漏洞, 同时向国家有关部门上报漏洞,使得系统漏洞在被黑客利用之前得 以修补。)原创积分排名”柱状图。在最新的排名中,今年才刚刚 20 岁的刘康就位列第五。
技出新材,闪破租车软件中危漏洞
2017年9月刚开学,刘康通过手机上的某知名电动车租赁APP 在学校门口租了辆车子,这个过程中他收到一个只有4位数的验证码, 该验证码显示一分钟内有效。凭着专业敏感度,他脑子里立刻开始 计算:理论上一个 4 位数的验证码,随机有 1 万种组合,用专业软 件这 1 万种组合在一分钟之内可以破译。
从银行办事回来后,他随即同宿舍小伙伴们进行了符合法律规 定的模拟破译测试,果然如他预想的那样,这个租车APP存在“任 意爆破登录漏洞”。他很快把漏洞的详细情况报送给国家信息安全 漏洞共享平台。工作人员及时将信息反馈给相应厂商,没过几天刘康就发现学校门口的租车 APP 有了修改。
“如果账号更换登录机器,多增加了一道验证程序,要上传该 账号主人的身份证照方可使用。如此一来,安全多了。”刘康很自豪, 觉得凭自己的技能,可以把潜在的危险规避,减少用户发生财产损 失的风险。刘康的这一发现被国家信息安全漏洞共享平台界定为“中 危漏洞”。
技护高企,升格网络安全技术专员
2017 年暑假,刘康又发现了一知名国企网站的“高危漏洞”。 他在随机登录某知名大型国企网站的时候发现,虽然在后台页面找 不到突破点,但是越过后台页面,登录到一个高级界面,通过技术 手段就可以发现该网站后台很多参数都是可控性的,包括某些敏感 数据、注册用户的所有信息都能修改。“万一遭到入侵,整个网站 都会瘫痪,所有用户数据也将全部泄露。”刘康打了个比方:“这 就像每户人家门上都有锁,并且这把锁很高级,一般人都打不开。 但居心不良的人可以绕过大门,想办法从阳台等安全有漏洞的地方 进入屋内,破坏或盗走屋内的东西,导致住户无法正常生活或财产 损失。”刘康当天上午就把该漏洞详细情况上报到国家信息安全漏 洞共享平台,当天下午该公司网站就对漏洞进行了修复。“一般政府、 大型国企网站的漏洞,一旦发现都会在 12 小时内得到修复。”这是 刘康以他多年经验得出的结论。
由于刘康在平台上的积分长期名列前茅,南京某大型网络安全 公司的老总亲自在网络上联系到他,专门聘请他担任公司的技术人员,协助该公司开展网络安全方面的工作。目前,读大二的刘康已 经被很多企业相中了。
技筑团队,逐梦网络信息安全
对于刘康做“白客”的事,同学们是既赞赏又羡慕,在他的带动下,他所在的宿舍没人玩网络游戏,几个人都跟着刘康学找“漏洞”技术,如今他们都是国家信息安全漏洞网络平台上的“白帽子”,每个人手上都有该平台颁发的原创漏洞证明,其中光邱梦宇同学就有 30 多 张,团队五个人共有 130 多张。
邱梦宇算是刘康比较得意的“徒弟”了。他今年6月份无意中发现 某市招生平台网上填报系统的网页参数上存在安全隐患,这一隐患 有可能泄露考生信息。邱梦宇将这一情况报送给平台,没过几天收 到平台颁发给他的证书——这个漏洞被定为“高危”。舍友封成森还记得大一刚开学时的情形,“刘康给我们讲他的网络 漏洞挖掘经历,做一些在我们看来很高深的事情。”逐渐了解刘康 的本领之后,同宿舍的其他三个成员以及隔壁宿舍的一位同学都对 这个漏洞挖掘技术产生了浓厚的兴趣。刘康先给舍友们开了一个书 单,让他们去学校图书馆把这些书找来看,遇到不懂的问题,他就耐心为大家解答。他还经常在宿舍或者有多媒体设备的教室,给舍友们“上课”,详细讲解那些基础知识,还在电脑上给他们演示挖掘漏洞的过程。
在舍友陈真眼中,刘康对技术特别执着和专注。“他不仅自学网络 漏洞挖掘技术,还会多种程序语言,最近看他还在学习新的程序语言,而且他还自学网站开发。他常常学习到晚上十一二点,为了弄明白 一个问题或者完成一项测试,宁愿不吃饭也要先把事情做好。宿舍 里有这么努力的榜样,我们都没有理由不努力了。” 罗马不是一天建成的,成功也不是一朝一夕铸就的。没有付出就不会有收获。从懵懂无知到如今的精英“白客”,刘康始终坚持自己 的理想和信念,用执着和专注诠释着维护网络安全的责任感。关于 未来,刘康打算能在信息安全这个专业有更深的造诣,能够利用所 学的技术为社会作出更大的贡献。关于梦想,刘康希望能和团队伙 伴们开办一家属于自己的公司能够更好地为社会服务,不断用职业 素养和实用技能这双翅膀让自己的梦想飞得更高、更远!