南大“技术帝”入侵老师邮箱 称可拿期末考卷和改成绩

 邮箱网  0条评论  4950次浏览  2012年12月28日 星期五 11:36

分享到: 更多

 

龙虎网讯 金陵晚报记者报道 进入负责接收试卷、统计成绩的教务老师的邮箱,拿到老师邮箱密码,再冒用老师的邮箱地址发邮件……昨天,一篇名为 “如何通过入侵老师邮箱拿到期末考卷和修改成绩”的网络日志,突然“华丽丽”地进入大众视野,并被疯狂转载。

 

南大技术帝“摸进”老师邮箱 称只想测试漏洞

 

 

南大技术帝“摸进”老师邮箱 称只想测试漏洞

 

网友评议外院女孩最漂亮

 

南大技术帝“摸进”老师邮箱 称只想测试漏洞

 

破解电话号码截屏图

最近,正值高屑试季。这篇网帖如炸弹般在平静的2012年岁末炸响,刺激着高校师生们的敏感神经。金陵晚报记者采访得知,该帖的作者是南京大学软件学院的大三男生刘同学。据悉,因为此事他正面临被学校处分。

网帖展示:“入侵老师邮箱”全过程

“先声明,这个漏洞是无意中发现的,我只是验证了它的可行性了,但是最后是没有干坏事的,否则被发现会被退学的。另外就是,目前测很多高校的邮箱系统都有这样的漏洞(因为感觉以前的邮箱系统都不用框架开发),欢迎其他学校的同学去实践和验证,但是还是不要做坏事哦。下面开始了。”

发帖者随后对如何进入负责接收试卷、统计成绩的教务老师的邮箱,拿到老师邮箱密码,再冒用老师的邮箱地址发邮件等细节,用图文并茂的方式将他的实验步骤一点点呈现在文章中。

为了证明并展示自己的成果,他还把教务老师邮箱里的邮件目录进行了截屏,如,请各位老师出卷的通知、老师回发过来的试卷名称等。记者浏览截图时发现,发帖者对很多重要的信息进行了处理,比如部分网址、邮箱名等用马赛克进行了涂鸦,并对一些详细的代码编程一笔带过。

尽管,邮箱截图中清晰可见不同时间段的“试卷”字样。但是,发帖者在最后一再声明:“我们年级是3学期,下学期才考试,我真没有打开过里面的任何一封邮件和下载过任何试卷!”

“技术帝”解释:初衷想提醒学校注意邮箱保密

网友@南航张泽宇称:“如何通过入侵老师邮箱拿到期末考卷和修改成绩”的作者是南大学生,就是之前通过固定电话拨打手机的声音破解360老总周鸿祎手机号码的那位。

昨天下午,记者联系上了这位“技术帝”,正在读大三的刘同学。他承认,帖子确实是他发的,但表示拒绝接受采访,只称:“初衷只是为呼吁学校教务系统提高对邮箱的保密意识。没想到,这件事产生了意想不到的影响。”

同样,南大软件学院也未对此事作出回应。“这位同学这样做是欠妥的,他自己没有看试卷不代表其他同学和他一样。这会给学校以及其他学校的教务工作带来了不小的麻烦。”记者从南大其他部门获悉,因为这一行为,该同学将受到学校的处分。据悉,学校已提出约见其家长。

记者随后登录刘同学的人人网个人主页发现,昨天上午,这篇激起千层浪的日志已被勒令删除。昨天下午1:35,刘同学发布消息表达歉意:“在此,为我的冲动、浮躁和做事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意,对不起!而事情的结果会按照学校正常的处理流程得出。另外,我还是希望此事对其他学校的系统和受日志启发去思考和验证的同学会有积极的效果。”

网络专家:国内邮箱100%存在漏洞

“从技术层面上说,是可以实现的。老师邮箱密码之所以让这个学生破译了,主要还是邮箱的安全系统存在漏洞。”这篇网帖也引起了很多网络专家的关注,昨天, 东南大学网络管理与网络安全专家杨望介绍说,目前国内邮箱,基本上100%存在漏洞。

杨望解释,这位学生主要是通过盗取cookie来进行破译的。cookie是机主登录网站后形成的记录,存储在浏览器中,在一段时间内,如果机主再次登录陆这个网站,可以不用进行输密码等身份验证。

这本是为了方便机主、加快上网速度的措施,“这位学生通过发送邮件,让老师在看信时产生相应的cookie,拿到了老师的cookie后,再在自己的电脑里伪造这个cookie,将之插入自己的浏览器,这样通过自己的电脑登录陆,网站也会误认为是老师登录陆的,从而成功进入老师的邮箱。”

既然有这样的漏洞,用户应该如何规避杨望提醒说,“尽量做到不要打开可疑邮件,并且开发邮箱的部门要重新考虑系统的安全性,比如登录陆邮箱时加个IP地址验证等,以此来增加被破译的难度。”同时,还可以从邮箱登录陆程序上加强用户身份认证等功能,比如常见的“二代密保”。

律师:该行为算不上违法

在未经允许的情况下,入侵他人邮箱,此举是否存在法律风险“这位学生的行为没有对社会造成危害,算不上违法。”江苏倍宁得律师事务所高徐律师表示。

高律师认为,老师出的试卷都有一定的保密级别,学生如果提前通过不正当手段看到了老师的试卷,是涉嫌犯罪,但这位学生并没有点开老师的试卷,只是到老师的邮箱里逛了一圈。“这一行为充其量算是侵犯隐私。学猩以对其进行行政处罚。”

不过,杨望老师认为,这位学生的法律风险意识不够。学生在钻研一样东西时,受好奇心支使更多,却经常忘了网络道德和法律层面的东西。这位同学在发现漏洞后,应该及时向学校网络安全部门报告,而不是在网上散布。

》》南大“技术帝”风云事件

1、学商学的女生下巴比较尖、学历史的女生圆润些、学数学术青年的男生脸比较秀气……还记得南大学生的“标准脸”吗2012年7月,南大“技术帝”收集了南大7000名同学照片,利用软件分析制作出的不同院系学生“平均脸”而名噪一时。

2、2012年8月底,忙于和百度酣战的360总裁周鸿祎没想到,一段某网站记者采访他的视频,会出卖他的手机号码。根据一段10秒钟的按键音,追踪破译出手机号码……南大“技术帝”用日志图文并茂地展示了自己如何破解周鸿祎手机号的过程。 “这位同学确实能干,各位就不用验证了。”周鸿祎本人在微博中转发并证实此事。引得创新工场CEO李开复也在微博喊话,“这位同学:来创新工场吧!”金陵晚报记者 刘蓉 报道

(原标题:南大“技术帝”入侵老师邮箱 称可拿期末考卷和改成绩)

 

我的评论:

请  后发表评论。