如他所言,他首先入侵的是山西财经大学后台管理系统,只见文章目录上有“我校召开科研团队建设研讨会”等标题内容,管理权限为可以删除、修改文章。他随后瞄准了“山西大学”,并轻松进入了“省部共建工作办公室的管理首页”,管理权限显示为“超级管理员GJB”,在这个网站上,“GJB”可以编辑上传图片文章,整个网站的资料管理、统计数据都可以任由篡改,紧接着,他还破解了另一个网站管理系统。
随后,langzi_gao发表了“山西高校网站安全令人担忧”的帖文,他说,希望此举能引起高校网络工作人员的警惕。
学校:紧急修补中
高校网络管理权限如此容易破解,会不会给一些犯罪分子留下可乘之机?
山西财经大学的网络中心工作人员称,目前,已经有学生发现这个帖子并通报了学校。我们用的是两重卡,langzi_gao攻破的只是第一重卡,第二重卡安全系数高,不会被攻破。第一重卡存在技术漏洞,我们会尽快修补缺漏,以避免类似问题发生。
山西大学网络中心工作人员认为:“网站基本符合有关部门的安全技术级别,刚刚检测过,符合相关标准。尽管langzi_gao侵入的网站管理系统没有任何绝密权限,但我们仍然会尽快提高网站的安全级别系数。再者,我们的学生档案管理网络系统不是外网接口,不会被侵入。”
有浏览过该帖的学生对langzi_gao的做法表示了不满:“入侵者如果能把相关漏洞坦诚相告,给网站指出漏洞并提出解决方案,不是更好吗?”
律师:恶意就违法
“如果你流泪”是一位身在太原的网络黑客,他认为,langzi_gao用的工具是很简单方便的一种。现在电脑知识普及这么快,不少人掌握了一定的电脑技巧,能熟练地应用各种软件工具防御攻击。一些学校的内部软件系统设计有明显缺陷,给了一些人可乘之机。这些缺陷也不是没有办法弥补,可惜网站技术人员没有较强的安全意识。“如果有人在网站上随意改动文章或者上传一些不健康的文章和图片,甚至被一些心存恶意的人攻击谩骂学校或有关人员,对于学校来说,影响会很恶劣。”
那么,没有经过高校网站管理人员许可,langzi_gao随意侵入学校网络管理系统,其行为非法吗?
多年从事网络安全法律研究的律师郭建荣称:如果带着目的恶意侵入,并加以破坏,造成了恶劣的社会影响,就构成了违法犯罪,后果严重的要承担相应的法律惩戒。如langzi_gao这样的性质,他没有对网站系统进行破坏,不构成违法,但可能构成犯罪,侵犯了别人的合法权益。这种行为不应该提倡。