南大技术帝晒入侵老师邮箱全过程 称修改成绩

　　南大技术帝晒入侵老师邮箱全过程

　　称可拿到期末考卷和修改成绩，或被学校处分

　　扬子晚报网讯　(记者谈洁)昨天，一篇名为“如何通过入侵老师邮箱拿到期末考卷和修改成绩”的帖子被疯狂转载。据悉，这篇帖子的作者是南京大学软件学院的大三学生，因为此事他将被学校处分。

　　“先声明，这个漏洞是无意中发现的，我只是验证了它可行了，但是最后是没有干坏事的，否则被发现会被退学的。另外就是目测很多高校的邮箱系统都有这样的漏洞……下面开始了。”发帖者随后对如何进入负责接收试卷、统计成绩的教务老师的邮箱，拿到老师邮箱密码，再冒用老师的邮箱地址发邮件等细节进行了详细介绍。为了证明展示自己的成果，他还把教务老师邮箱里的邮件目录进行了截屏。不过，他在最后声明：“我们年级是3学期，下学期才考试，我真没有打开过里面的任何一封邮件和下载过任何试卷！”

　　网友@南航张泽宇称：“如何通过入侵老师邮箱拿到期末考卷和修改成绩”的作者是南大学生，就是之前通过固定电话拨打手机的声音破解360老总周鸿祎手机号码的那位。

　　昨天下午，记者与这位学生进行了联系。他承认，帖子确实是他发的，但不愿意接受记者的采访。记者从南大其他部门获悉，因为这一行为，该同学将受到学校的处分。

　　东大网络管理与网络安全专家杨望老师也注意到这位学生在网上发的帖子，“目前国内邮箱，基本上100%存在漏洞。”他解释，这位学生主要是通过盗取cookie来进行破译的。cookie是机主登录网站后形成的记录，存储在浏览器中，在一段时间内，如果机主再次登录这个网站，可以不用进行输密码等身份验证。这也是为了方便机主、加快上网速度的措施。这位学生通过发送邮件，让老师在看信时产生相应的cookie，拿到了老师的cookie后，再在自己的电脑里伪造这个cookie，将之插入自己的浏览器，这样通过自己的电脑登录，网站也会误认为是老师登录的，从而成功进入老师的邮箱。“开发邮箱的部门应重新考虑系统的安全性，比如登录邮箱时加个IP地址验证或者其它因子，以增加被破译的难度。”

　　对此，江苏倍宁得律师事务所高徐律师表示，老师出的试卷都有一定的保密级别，学生如果提前通过不正当手段看到了老师的试卷，是涉嫌犯罪，但这位学生并没有点开老师的试卷，只是到老师的邮箱里逛了一圈。他说：“这一行为充其量算是侵犯隐私，学校可以对其进行行政处罚。”