技术帝发帖展示入侵老师邮箱全过程 |
| 来源:email100.com 时间:2012-12-27 |
| 昨天(12月26日),一篇名为 “如何通过入侵老师邮箱拿到期末考卷和修改成绩”的帖子被疯狂转载。据悉,这篇帖子的作者是南京大学软件学院的大三学生,因为此事,他将被学校处分。
事件:技术帝发帖展示“入侵老师邮箱”全过程
记者在新浪微博上看到,仅“@清华南都”转发的“如何通过入侵老师邮箱拿到期末考卷和修改成绩”的帖子就被转载了数千次。
“先声明,这个漏洞是无意中发现的,我只是验证了它可行了,但是最后是没有干坏事的,否则被发现会被退学的。另外就是目测很多高校的邮箱系统都有这样的漏洞(因为感觉以前的邮箱系统都不用框架开发),欢迎其它学校的同学去实践和验证,但是还是不要做坏事哦。下面开始了。”发帖者随后对如何进入负责接收试卷、统计成绩的教务老师的邮箱,拿到老师邮箱密码,再冒用老师的邮箱地址发邮件等细节进行了详细介绍。
为了证明展示自己的成果,他还把教务老师邮箱里的邮件目录进行了截屏,如,请各位老师出卷的通知、老师回发过来的试卷名称等。
不过,他在最后一再声明:“我们年级是3学期,下学期才考试,我真没有打开过里面的任何一封邮件和下载过任何试卷哦!”
网友@南航张泽宇称:“如何通过入侵老师邮箱拿到期末考卷和修改成绩”的作者是南大学生,就是之前通过固定电话拨打手机的声音破解360老总周鸿祎手机号码的那位。
昨天下午,记者与南大的这位学生进行了联系。他承认,帖子确实是他发的,但不愿意接受记者的采访。
记者从南大其他部门获悉,因为这一行为,该同学将受到学校的处分。“这位同学这样做是欠妥的,他自己没有看试卷不代表其他同学和他一样,这会给学校以及其他学校的教务工作带来了不小的麻烦。”
网络专家:国内邮箱100%存在漏洞
“目前国内邮箱,基本上100%存在漏洞。”东大网络管理与网络安全专家杨望老师表示,他也注意到这位学生在网上发的帖子。从技术层面上说,是可以实现的。老师邮箱密码之所以让这个学生破译了,主要还是邮箱的安全系统存在漏洞。
“这位学生主要是通过盗取cookie来进行破译的。” 杨望解释,cookie是机主登录网站后形成的记录,存储在浏览器中,在一段时间内,如果机主再次登陆这个网站,可以不用进行输密码等身份验证。这也是为了方便机主、加快上网速度的措施。这位学生通过发送邮件,让老师在看信时产生相应的cookie,拿到了老师的cookie后,再在自己的电脑里伪造这个cookie,将之插入自己的浏览器,这样通过自己的电脑登陆,网站也会误认为是老师登陆的,从而成功进入老师的邮箱。
东大网络管理与网络安全专家龚俭告诉记者,破译邮箱密码的手段很多,这位学生用的是其中一种手段。一般来说,产生这样的网络安全事件,主要因为三点:一是使用者疏漏,二是邮件服务器的管理有疏漏,三是邮件服务器使用的软件技术有漏洞。这些安全缺陷让“黑客”有了可趁之机。
杨望提醒大家,一是不要打开可疑邮件,二是开发邮箱的部门要重新考虑系统的安全性,比如登陆邮箱时加个IP地址验证或者其它因子,以增加被破译的难度。
律师:该行为还算不上违法
“这位学生的行为没有对社会造成危害,算不上违法。”江苏倍宁得律师事务所高徐律师说,老师出的试卷都有一定的保密级别,学生如果提前通过不正当手段看到了老师的试卷,是涉嫌犯罪,但这位学生并没有点开老师的试卷,只是到老师的邮箱里逛了一圈。“这一行为充其量算是侵犯隐私。学校可以对其进行行政处罚。”
不过,杨望老师认为,这位学生的法律风险意识不够。学生在钻研一样东西时,受好奇心支使更多,却经常忘了网络道德和法律层面的东西。这位同学在发现漏洞后,应该及时向学校网络安全部门报告,而不是在网上散布,说明他的法律风险意识还不够。 |
|
|
|
