南大“標準哥”入侵老師郵箱搜考卷 要被開除？

2012年7月11日本報報道“標準哥”的版面。

2012年9月1日本報再次報道這位“軟件小子”。

“標準哥”其人

“標準哥”是南京大學軟件學院2010級男生劉靖康，這個外號源于今年7月劉靖康的一次“突發奇想”，他用7000張同學的照片做出南京大學各院系“標準臉”，網友送外號“標準哥”。

揚子晚報曾報道過的南大“標準哥”劉靖康又成為焦點，這位曾通過電話按鍵音成功破解360總裁周鴻祎手機號碼的“軟件小子”，竟然又利用漏洞入侵學校教務員郵箱搜到期末考試試卷，并將整個入侵過程公布在人人網上。

不過這次，他沒這么幸運，學校很快知道了此事，還喊來了劉爸爸，連劉靖康自己也在人人網上說：“可能要被開除了�！蹦洗蟆凹夹g帝”真的要被開除了嗎？揚子晚報記者昨日展開了追訪。

A “標準哥”又成焦點

發帖演示如何搜出期末試卷

26日晚，劉靖康在人人網上發布了一條爆炸消息，如何通過入侵老師郵箱拿到期末考卷和修改成績：“先聲明，這個漏洞是無意中發現的，我只是驗證了它可行了，但是最后是沒有干壞事的，否則被發現會被退學的……另外就是目測很多高校的郵箱系統都有這樣的漏洞，歡迎其他學校的同學去實踐和驗證……”

緊接著，這位“技術帝”一步步詳細解析了入侵軟件學院教務員信箱的整個過程�！耙话銇碚f，學院是相對獨立的組織，我們的試卷都是由任課老師命題然后發給學院的教務員來打印，最終送到我們手上。怎么發呢，我覺得U盤QQ都不太靠譜也不好管理，猜測是郵箱發的，所以我們的目標就是要登錄到教務員的郵箱那里，拿到試題�！薄暗卿浀脑捯话闱闆r下需要密碼……我們要利用的是cookie（cookie指某些網站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據——百度百科的解釋），因為服務器除了密碼以外也認這個東西，而且這個東西我們可以在瀏覽器上偽造�！�

怎么拿到cookie？劉靖康稱“我們要再一次改思路：通過js讓教務員把自己的cookie發回給我們�！�25號晚9點多，他給教務員發了一封郵件，然后在26日收到回信后，迅速給cookie加上些東西變成了代碼，再打開院郵，在chrome的console里輸入登進教務員的郵箱了�！笆Ｏ碌氖虑楹棉k了，在郵件搜索‘卷’，就全出來了�！睘榱俗C明自己的確做到了，劉靖康還貼出了教務員郵箱有關試卷的郵件目錄�！疤�多了，有13頁，但是我們年級是3學期，所以下學期才考試哈�！眲⒕缚颠�保證，“我真沒有打開過里面任何一封郵件和下載過試卷哦！”

成功“搜”出試卷之后，劉靖康還發表了一段關于“如何修改成績”的猜想：“不出所料，成績也是任課老師整理后在教務員那里匯總，然后再到學校教務處的，例如下面這種；方法很簡單，將標題包含‘成績’的郵件設置為spam，教務院就收不到了，然后你去spam那里去找回來，下載表格，修改成績，以同樣方法劫持任課老師的郵箱，重新發一封給教務員（大概可行吧，沒試過）�！�

這篇日志在人人網發表后，隨即被瘋狂轉載，引發網友大討論。在一堆“跪拜”之后，有人表示“思路很新穎，就是不夠詳細啊。關鍵是收到老師的郵件后怎么改cookie�！边�有人“求研究生入學考試專業課試題！”

“標準哥”突然道歉刪帖，說學校要開除他

不過到了27日上午8:35分，劉靖康刪除了自己的這篇日志�！敖裉煸缟�8點接到輔導員電話，該日志被勒令刪除了，抱歉”。他寫道：“本人只是驗證，自己并沒有做壞事，也沒有鼓勵大家做壞事。如果真的想利用這種漏洞做壞事，我自己就一個人偷著樂了，何必發出來分享呢。反過來講，這種漏洞其實并不那么難發現，我覺得學�？赡軐ψ约旱南到y太自信了，或者知道了這種漏洞也懶得去改，無論是哪一種情況，他們都不能保證說之前一定沒有學生偷偷這么做過�！彼�表示，這個日志的傳播速度也在本人預期范圍內。

隨后劉靖康又在人人網上稱，可能要被退學，爸爸已經被學校叫來談話�！凹夹g帝”被開除了，這一爆炸性消息再次激起網友的熱議，一名自稱劉靖康學弟的南大學生還給本報微博發來私信，“學長昨晚發現學校郵箱的漏洞破解了教務員的密碼，學校打電話給他爸爸要開除他……”

不過，很快劉靖康又做出了解釋：“非常抱歉，剛剛關于退學的狀態，是我父親把老師的意思理解并傳達錯了�！弊蛱煜挛�，劉靖康再次正式道歉：“在此，為我的沖動、浮躁和做事方式，向擔心我的人、受到不好影響的人，以及因此事受損的軟件學院，表達我的歉意，對不起！而事情的結果會按照學校正常的處理流程得出。另外我還是希望此事對院郵，其他學校的系統和受日志啟發去思考和驗證的同學會有積極的結果�！�

當事人變“忐忑”，學校暫無處理決定

昨天下午，揚子晚報記者再次撥通了劉靖康電話，之前因為他的“創新”，記者已經多次電話和他溝通，不過這次這名傲視群雄的“技術帝”一反常態，忐忑地表示不希望接受采訪。

記者隨后聯系了南京大學軟件學院相關負責人，當記者詢問是否會對劉靖康做出退學處理，她表示暫沒有處理決定，而且處理此事將按照學校正常流程走，并不是軟件學院的單方面決定。

B 網友熱議

是學校漏洞，還是“標準哥”玩過頭

“如果沒有充分考量后果，技術開發只能帶來災難”

從盜用7000張照片P成南大各院系“標準臉”，到2秒內通過電話按鍵音破解360總裁周鴻祎手機號碼，南大軟件學院劉靖康名噪一時，他的才能還博得李開復的青睞，被邀請加入“創新工場”。不過此次入侵郵箱看考卷事件在網上爭議頗多。甚至引發了一番關于“技術及人文、責任”的討論。

有網友認為，劉靖康發現漏洞不僅沒有聯系學校有關人員，反而在人人網上廣而告之，“其實是無知帶來的蝴蝶效應式的連鎖反應�！薄霸诩夹g開發之前如果沒有對可能后果的足夠充分，足夠理性的考量，技術就只能帶來災難，或者更糟糕的，帶來無法預知的甚至人類無法理解的問題�！薄斑@就像故事皇帝的新裝，明明是學校的郵件系統有漏洞，被學生發現破解后，應該是馬上想辦法把這個漏洞補上，而不是先要懲罰學生�！辈簧倬W友為他打抱不平，“呃……劉靖康同學只是發現而已，又沒黑它，不能拿學生開刀吧……”

也有網友質疑其學校的學習氛圍，“軟件專業的學生，不是應該給他自由發揮的空間嗎，我認為這位熱愛互聯網，執著于自己的專業，并用所學知識發現問題，這本身是值得鼓勵的，但是發布到網上，教大家如何去破解，有點過分了�！�

C 記者追訪

多數高校真的用郵箱傳試卷

是不是真的如劉靖康所說，學�？季硗ㄟ^郵箱傳送呢？記者昨日調查中證實了劉靖康的說法，在南京審計學院、南京財經大學等大部分高校，出卷老師從郵箱給教務老師發送試卷。一所高校相關人士告訴記者，在本校，歷年的期中、期末的試卷都是由各院系教研室的專門老師負責出題的，確定題目審核無誤之后，就直接發至教務處存檔。然后由學校教務處聯系印刷廠組織統一印刷。比如語文、英語、思修等通識課程�！皩W校為試卷傳送設置了專門的郵箱，只有專門負責此事的老師知道密碼�！�

兩種情況下郵箱密碼可破解

什么情況下郵箱密碼可被破解？記者昨天請教一名計算機專業人士�！巴ㄟ^發送郵件，回復郵件，套取cookie，從理論上說是無法實現的�！边@名專業人士認為，劉靖康可能隱瞞了一些操作步驟。他分析，兩種情況下，郵箱密碼可以被破解的。一種是操作者電腦系統有漏洞，學生和老師都使用校園局域網，學生找到漏洞后，可以遠程破解老師電腦windows密碼,如果這名老師郵箱是“直接登錄狀態”，就可直接登錄。如果設有密碼，可以通過植入木馬控制郵箱密碼，實現登錄。另一種情況是郵件系統漏洞，也就是服務器漏洞，也可以通過一些手段把郵箱中的數據提取出來。

■新聞鏈接

他加分進南大 曾三門課交“白卷”

讓打火機的光在墻上畫畫、簡易3D轉換技術，攝像頭識別人體動作……南京大學軟件學院2010級男生劉靖康稀奇古怪的創意有不少，他本人也有些特立獨行。

“電腦”加20分進南大

劉靖康的父親是廣東一家毛絨玩具廠負責人，母親曾在銀行工作。劉靖康從小學五六年級開始就自己琢磨著制作網頁、網站，他的發明在常人眼里“稀奇古怪”。高中時，他參加了當時的全國中小學生電腦制作大賽，根據谷歌地圖可以幫助用戶看到世界各地街景的功能，他設計了一個“外掛”：用攝像頭識別用戶腿部前進、后退、轉彎的動作，根據這些動作在電腦中顯示相應“走”到的地方的街景。劉靖康因為這個項目獲獎，在高考時獲得了20分的加分，順利進入南大學習。

期末三門交“白卷”

“我這個學期的期末考試有三門課交了白卷，準備開學來了再補考吧�！痹诮邮懿稍L時，劉靖康語出驚人，自己大部分時間都花在了感興趣的“新玩意”設計上，那才是“主業”。上課的時間，劉靖康就琢磨自己的發明創造：用光感應的原理設計一面可以用打火機、手電筒的光“畫畫”的墻、“山寨版”3D技術，人人網推出“暗戀”功能時，他還自己設計了一個頁面。

他還寫了一個可供蘋果、安卓校園手機用戶進行二手物品交易的軟件。隨后，他又花了一個月的時間完成了在視頻中插入植入式廣告的技術。在父親的鼓勵下，小劉期待將自己的作品投入到商業應用中，用技術進行自主創業，吸引了多家公司與他洽談合作業務。（記者 蔡蘊琦 張琳）