|
高考網上志願填報存安全漏洞
今天是網上2007年高考網上志願填報第一天。早晨8時整,一位考生意外地發現,志願填報網頁竟存在著一個巨大的安全漏洞:任何一個人都可以跨過密碼驗證,直接進入志願填報頁面,修改志願。
為求證,記者隨意輸入一組考生號,都能成功進入志願填報頁面,也可隨意修改志願。
今天上午,記者聞訊趕到這名考生家裡,他要求記者稱他為『motproc』。『這是我早起填志願時意外發現的。』他坐在電腦前開始進行操作。在進入網址為『gk.bbn.com.cn/』的頁面後,他點擊提交志願信息,隨即,考生登錄的頁面出現在電腦上。記者看著他輸入自己的正確考生號和密碼之後,通過校驗碼進入今晨他剛剛填報好的志願單。記者看到他的本科一批、二批、三批都已完全填好,並記錄下他第三批其中一個專業:北京科技大學天津學院的信息與計算科學。
『motproc』繼續演示,他重新登錄志願填報,繼續使用自己的考生號,但在密碼欄輸入了8個『0』,隨後錄入正確的校驗碼。回車,頁面毫無意外地顯示了『密碼錯誤』的提示。但安全漏洞就在這裡,而且顯得那麼不堪一擊。顯示密碼錯誤的這個網頁的網址是gk.bbn.com.cn/gkbm1.php,『motproc』把末尾『gkbm1』中的1改為了2,然後回車,竟然成功進入了下一頁面:志願填報頁面。
隨後記者試著把那個信息與計算科學專業改為物流工程,並提交。重新用『motproc』的正確密碼再次進入後發現,志願已經被成功改變。我試過幾個其他同學的,結果都一樣。『這太可怕了。如果有人惡作劇,在填報的最後一刻改掉別人的志願,那麼對方根本毫無察覺。而所有考生的考號都是公開的,我現在就可以替我的所有同學填出一份他們完全想不到的志願來。而且根本不用密碼。』『motproc』指著顯示屏對記者說道。
從『motproc』填報的志願可以看出,這是一個對計算機極為感興趣的學生。他說:『我對計算機安全比較敏感,今天早晨填完志願後就想測試一下它的安全性,輸入了錯誤的密碼,並在地址欄修改下一頁面的網址。沒想到竟然成功了。』
今天上午,負責高考考生志願填報網站維護的中國網通一名負責人打來電話表示欲對此事追查清楚,記者向她簡單描述了漏洞的表面現象之後,對方說將派技術人員核查。
|
