3月10日,成都博恩电科信息有限公司副总经理胡大为一行来到学校学工部,此次到来旨在兑现一个诺言——对我校计算机与软件工程学院软件工程专业2016级学生陈庄发现并上报关于易班“喜付”充值所出现漏洞的行为表示感谢和表彰。
慧眼 识漏声名起
2016年12月19日,本是软件工程专业的陈庄无意间看到易班的充值功能,便亲自去测试了该软件是否存在“漏洞”。原本只是无心一试,他并未抱太大希望,但令他意外的是,他在用“喜付”对饭卡进行充值时仅用了0.01元便成功充值了100元。而后他对话费也进行充值测试,五分钟后到账时依旧显示只扣了0.01元。一股莫名的紧张和激动之情在陈庄心中油然而生。反复确认并且确定对方并没有发现有此漏洞的情况下,陈庄立即向辅导员反映,辅导员紧接着向学院上报,学院即刻向学校说明情况,学校立马联系到企业并说明情况,在最快的时间内有效地阻止了公司造成更多的经济损失。公司确认后当即向学校及陈庄表达真挚感谢,并表示将亲自到学校当面对陈庄表达谢意。
陈庄是如何发现这个漏洞并且充值成功的呢?在采访中他介绍到,当他尝试对饭卡进行充值时,由于信息传输没有加密,充值数据被陈庄利用软件技术拦截后修改了实际支付价格。由于软件在价格方面的数据加密方式不完善且没有验证机制,所以他修改后的价格并未被系统检测到错误,系统接收数据后,他便成功用自己改掉后的价格对饭卡和话费分别进行了充值。
在此上报过程中,陈庄的辅导员郭聪发挥了重要的衔接作用,而陈庄发现漏洞积极上报更是离不开她平时的谆谆教诲。早在开学不久前,郭聪便识出陈庄在计算机方面过人的天赋,在平常的交流中她也了解到陈庄有过发现漏洞并上报的经历,所以她在鼓励陈庄去发现系统漏洞的同时不忘劝诫他一定要传播正能量,及时上报,不可图一时小利。她曾经语重心长地告诉过陈庄:“我们绝对不可触碰道德底线,利用系统漏洞去做一些不正当的行为,同时也不能试图从中获得回报去动歪脑筋,而是要把其当作是自己的一种责任。”在老师的正确引导下,陈庄利用自身技术做好事的心愈加坚定。
在郭聪的建议下,现在陈庄加入了学院兴趣小组——西华大学网络安全兴趣小组。这个成立于08年的网络安全兴趣小组致力于维护网络信息安全,曾获得全国大学生信息安全技术大赛全国二等奖等多项奖项。陈庄虽然基础知识薄弱一点,但对信息技术的敏锐度让他在小组里如鱼得水,软件学习、训练讲课,让陈庄在学好专业知识的同时接触到更多计算机网络安全知识,也拥有了许多可以在网络软件比赛中崭露头角的机会。
寻漏 路上苦与乐
早在初三那年,陈庄心中便种下了学习更多计算机知识的梦想,这颗梦想的种子在高中时生根,于大一吐露了嫩芽,并且在他不断地学习中茁壮成长。
初中毕业那年暑假,陈庄在论坛上看到许多有关网络技术的贴子,他对此十分着迷,渐渐地,浓厚的兴趣促使他在放假的两个月里一直跟着视频学习计算机知识,不断积累技能本领。陈庄说:“我当时几乎把所有的空闲时间都泡在论坛里看别人的技术贴,看他们分享出来的一些查找漏洞的方法和他们测试漏洞的经历。”经过那段高强度的学习时间,为他在发现漏洞的路上打下了坚实基础。
“争之必然,失之淡然,得之坦然,顺其自然”是陈庄的座右铭。回忆高中的那段瓶颈期时,陈庄面色凝重。高中每天超负荷的学习使他不得不暂时放下喜欢的计算机研究,即使这样,学业的压力导致他心理压抑,晚上失眠,成绩也一落千丈。班主任周平察觉到他的问题,积极开导他的同时也鼓励他在不影响学习的情况下去做一些自己喜欢的事情。于是陈庄利用课余时间研究计算机技术,在适当的劳逸结合下,他的学业大有长进,漏洞的识觉敏感度也突飞猛进,这使他渐渐找回了自信。
进入大学后,陈庄将全部重心转向研究网络技术学习上,并结识了学院学长陈志斌,再了解了陈庄的情况后,陈志斌带着陈庄一起学习服务器Linux和其他网络知识。陈庄也自己尝试着去发现一些漏洞,在探索的路上他也曾处处碰壁,常常几天专心于测试一个系统,却一无所获,甚至在测试漏洞中被当作“黑客”被客服警告过。“当时在测试一个微信合作平台,在捕捉数据的过程中,客服误以为我是要利用漏洞获利,于是给我了警告。当时是挺委屈的,但也让我在之后更注意这些问题。”陈庄回忆道。
到现在为止,陈庄上报了许多APP漏洞。例如他向乐童音乐公司反映了APP漏洞问题,成都中影国际影城、易班“喜付”在购票和充值过程中出现的漏洞等。乐童音乐公司在修复漏洞后特邀陈庄重新进行测试,并且向他发出毕业后直接去上班的邀请;成都中影国际影城经理亲自向陈庄表示感谢,并聘请陈庄为公司进行有偿测试系统。即使拥有许多让人羡慕的机会摆在面前,陈庄却依然以技术能力不足为由婉拒了公司的邀请。
陈庄表示,今后会继续潜心学习网络计算机技术,不断积累经验,用更多的战绩得到越来越多人的认可,圆自己一直以来的“计算机大神”梦。
前行 脚步不停歇
“测试出易班的支付漏洞,感觉更多的还是运气好而已,自身技能还远远不够。”尽管现在陈庄已经小有名气,他却谦虚地说自己专业知识储备并不丰富,还需要更广泛地学习。当初凭借对计算机极大的兴趣促使陈庄毅然决然地选择了西华大学软件工程专业,并得到了家里人的肯定与支持。他说:“我从初中起就很喜欢计算机,父母一直都支持我,虽然在开始发现漏洞时也会特别担心我走歪路,所以他们不停地告诉我一定要利用好的技能发挥正确的作用,切忌违法犯罪,我一直谨记着他们的教导。”
在接触网络技术的过程中,陈庄身边也拥有了一群志趣相投,竭力维护网络安全的小伙伴。当然,他也明白,漏洞很有可能就会被“黑客”利用。他曾听闻有人利用一分钱充五百元话费的充值漏洞和银行取款漏洞来谋取个人利益,导致企业损失巨大,最终锒铛入狱等黑色事件,正是受这些负面事件的警戒,陈庄更加意识到网络安全的重要性,他立志要做一名维护网络安全的“白帽子”。 对于网络安全,他也以自身经验给出几点建议:首先,网络世界纷繁复杂,不能沉迷其中,耽误前程;同时,在网络高速发达的现在,掌握好一些计算机技能势必对个人发展大有裨益;另外,信息安全十分重要,参与网上活动一定要保护好自己的个人信息,以免给不法分子可乘之机;最后,当自身权益受到侵害时,要懂得用法律武器维护自己的合法权益。
除了学好专业课之外,陈庄对在大学期间需要掌握的技术有着十分明确的规划:php、数据库、Linux服务器、python等统统被他列入其中。谈及以后的打算,陈庄表示:“毕业后直接出去就业,对于多家公司提出的周末或暑假去实习的邀请,他会抱着向前辈学习的心态去试试,以积累更多的实战经验。”
“在计算机技术方面很有天分,聪明懂事,成绩优秀,能和同学愉快相处。”是郭聪眼中的陈庄,其实和大多数男生一样,陈庄也会和室友开黑打王者荣耀,在娱乐的同时增进与室友之间的感情。每周积极参加运动锻炼也是他的“必修课”,他解释道:“常年坐在电脑面前使我视力下降,对身体也有许多坏处,虽然我还年轻,但也会有意识去注意锻炼身体。”
人们都说,兴趣是最好的老师。陈庄的故事就是最好的例子,但在这背后,他刻苦钻研,不骄不躁的精神却是他一步步走向成功的催化剂。心有多大,舞台就有多大,让我们期待他在更大的舞台上大放异彩。
“白帽子”陈庄
