高职大二学生发现网站高危漏洞 获信息安全平台原创漏洞证明

湖北日报全媒记者 张歆 通讯员 陆慧

3月中旬，武汉商贸职业学院软件技术专业大二学生曹子阳收到了一份特殊的“成绩单”——由国家信息安全漏洞共享平台（CNVD）下发的原创漏洞证明和CNVD荣誉证书。此前，他向该平台提交了一条公司网络系统漏洞，被平台评定为高危级别。

CNVD是国内最权威的漏洞平台之一。报送条件要求漏洞必须存在且可复现，不能是已公开或已修复的漏洞。

曹子阳介绍，漏洞是他在去年10月参加职业技能大赛时发现的，是一种“SQL注入漏洞”，通过该漏洞，攻击者可以将恶意SQL代码“注入”到应用程序的输入字段中，欺骗后台数据库将其当作合法指令执行，达成绕过认证密码登录账户、窃取数据库数据、篡改数据等目的，还可能通过加密数据、删除数据等方式要求网站支付赎金。

曹子阳回忆，漏洞本身和竞赛关系不大，但他也并未忽视这一细节，而是把它视作一次业余兴趣的实践，和指导老师陈英杰一起研究了漏洞，还商讨了处理方案。

原创漏洞证明（根据要求隐去漏洞编号等信息）。受访者供图

在老师们眼中，曹子阳是一个主动性特别强的学生，也很有规划意识，做事不盲目。

陈英杰回忆，无论是做创赛、社会实践、技能大赛还是完成课业，曹子阳都会先搜集资料，询问老师和学长学姐，获取经验后，再制定短期和长期的规划，并按照规划执行，“每一步都走得很扎实”。

陈英杰坦言，寻找漏洞、提交申请、获得批复是网络安全行业的常态操作，并不稀有，这些操作能够帮助相关公司更好地维护网络安全。

“对在读学生而言，能发现漏洞并提交报告还是很难得的。”该校信息安全技术应用专业教师王亚楠评价，“SQL注入漏洞”是网络安全领域很常见的一种漏洞类型，不少软件在出厂时就携带未检测到的漏洞，专业的网络工程师后续通过网络安全工具也可检测到。

该校专业教师表示，目前网络安全行业最突出的问题是人才紧缺，零基础的学习者想成为一名优秀的网络安全工程师，需要系统地学习，包括黑客攻击原理、信息加密技术、数据加密技术、Python脚本编程等，都是最基础的要求。

“我以后想往网络安全工程师或者算法工程师方向发展。”曹子阳表示，中学时他就对网络软件特别感兴趣，还自己尝试给手机刷机，安装软件，高职的课堂学习和实践机会让他迅速成长，更让他养成了自我学习的习惯，后续，他会考虑进入本科院校进一步就读，向自己的职业理想迈进。

曹子阳参加创业项目路演。受访者供图