高职大二学生发现网站高危漏洞 获信息安全平台原创漏洞证明

湖北日报全媒记者 张歆 通讯员 陆慧

3月中旬，高职武汉商贸职业学院软件技术专业大二学生曹子阳收到了一份特殊的大学洞获“成绩单”——由国家信息安全漏洞共享平台（CNVD）下发的原创漏洞证明和CNVD荣誉证书。此前，现网信息商丘网 商丘新闻网他向该平台提交了一条公司网络系统漏洞，站高证明被平台评定为高危级别。危漏

CNVD是安全国内最权威的漏洞平台之一。报送条件要求漏洞必须存在且可复现，平台不能是原创已公开或已修复的漏洞。

曹子阳介绍，漏洞商丘网 商丘新闻网漏洞是高职他在去年10月参加职业技能大赛时发现的，是大学洞获一种“SQL注入漏洞”，通过该漏洞，现网信息攻击者可以将恶意SQL代码“注入”到应用程序的站高证明输入字段中，欺骗后台数据库将其当作合法指令执行，危漏达成绕过认证密码登录账户、安全窃取数据库数据、篡改数据等目的，还可能通过加密数据、删除数据等方式要求网站支付赎金。

曹子阳回忆，漏洞本身和竞赛关系不大，但他也并未忽视这一细节，而是把它视作一次业余兴趣的实践，和指导老师陈英杰一起研究了漏洞，还商讨了处理方案。

原创漏洞证明（根据要求隐去漏洞编号等信息）。受访者供图

在老师们眼中，曹子阳是一个主动性特别强的学生，也很有规划意识，做事不盲目。

陈英杰回忆，无论是做创赛、社会实践、技能大赛还是完成课业，曹子阳都会先搜集资料，询问老师和学长学姐，获取经验后，再制定短期和长期的规划，并按照规划执行，“每一步都走得很扎实”。

陈英杰坦言，寻找漏洞、提交申请、获得批复是网络安全行业的常态操作，并不稀有，这些操作能够帮助相关公司更好地维护网络安全。

“对在读学生而言，能发现漏洞并提交报告还是很难得的。”该校信息安全技术应用专业教师王亚楠评价，“SQL注入漏洞”是网络安全领域很常见的一种漏洞类型，不少软件在出厂时就携带未检测到的漏洞，专业的网络工程师后续通过网络安全工具也可检测到。

该校专业教师表示，目前网络安全行业最突出的问题是人才紧缺，零基础的学习者想成为一名优秀的网络安全工程师，需要系统地学习，包括黑客攻击原理、信息加密技术、数据加密技术、Python脚本编程等，都是最基础的要求。

“我以后想往网络安全工程师或者算法工程师方向发展。”曹子阳表示，中学时他就对网络软件特别感兴趣，还自己尝试给手机刷机，安装软件，高职的课堂学习和实践机会让他迅速成长，更让他养成了自我学习的习惯，后续，他会考虑进入本科院校进一步就读，向自己的职业理想迈进。

曹子阳参加创业项目路演。受访者供图