導讀:2014中國互聯網安全大會,12歲熊孩子汪正揚,成了中國最小的黑客。還在清華附中讀初一的他:為了不做作業,入侵了學校的在線答題係統;他利用黑客“抓包技術”,花1分錢買了2500元的東西...除了這些糗事,他還修複計算機漏洞100多,12歲,你在幹嘛?
近日,一位年僅12歲的少年向360庫帶計劃報告了一個針對教育係統網站存在的安全漏洞。他發現,在某教育網平台可能存在安全隱患,允許入侵者查看任意他人的學分、成績等信息。
這位年齡最小的漏洞報告者是來自清華附中初一年級的汪正揚同學,他是北京市公安局、教委實施“網安啟明星工程”校本課的小學員之一。別看隻是初一年級,但已經有了近5年的網絡安全技術的學習和實踐經驗。他也是4月27日舉行的北京網絡安全教育基地成立儀式上邀請的47位中小學生嘉賓中的一員。360公司總部也成為北京地區第一個網絡安全教育基地。
北京網絡安全教育基地是國內首個麵向普通公眾和中小學生網絡安全教育基地,由北京市公安局,共青團市委和奇虎360公司等互聯網安全企業共同發起成立。2014年4月27日,北京網絡安全教育基地成立儀式在360公司總部舉行。活動授課現場,汪正揚同學向360的安全專家表示,自己掌握了一個可能影響上百家教育類網站的安全漏洞。4月28日,這位同學在360庫帶計劃官網上提交了漏洞說明材料。
我們從360庫帶計劃的安全工程師計東那裏了解到,汪正揚同學提交的實際上是一個弱口令漏洞。造成這種情況的主要原因是:很多教師使用了非常簡單和常見的短密碼,使他人可以比較容易的破解和登錄教師帳號,進而可以查看他人的成績、學分等信息。而網站係統在要求教師設置個人密碼時,並未進行簡單密碼過濾,沒有對教師設置的簡單密碼進行風險提示。目前,360庫帶計劃已向相關建站平台開發廠商報告了此漏洞中的密碼複雜度驗證問題。
從嚴格意義上講,汪正揚同學報告的弱口令漏洞還算不上是一個真正高危的網站安全漏洞,但確實是一種非常普遍存在的安全隱患。而且由於攻擊成本低,攻擊效率高,弱口令漏洞也往往是黑客入侵網站時首先攻擊的安全漏洞。年僅12歲的初一學生汪正揚同學能夠發現這些安全隱患,實屬難能可貴。
在網絡信息發達的現代社會,社會公眾亟須網絡安全意識和安全防護技能培養,而青少年作為祖國的未來,如何培養他們的網絡安全意識尤為重要。