第568章

  八卦声在车厢里此起彼伏，王宇一边耳朵进，一边耳朵出，无所谓地听着。
  别人口中的“李大神”，他确实听说过，是高三1班的一位计算机竞赛选手。
  “李大神”的实力无可争议，传闻他在计算机竞赛的地位与吴震寰在物理竞赛中的地位相当——高二那年就已经顺利拿到了保送资格。
  但即便如此，“李大神”和吴震寰一样，并不满足，今年仍旧要冲刺清大燕大的保送名额。
  尽管在这些同学的讨论中，“李大神”俨然是个高不可攀的存在，但他对治安部的网络安全专家选拔毫无兴趣。
  偶尔话题扯到和网络安全相关的内容，王宇本想插几句嘴，却很快意识到自己根本得不到回应。
  倒不是因为这些人有意孤立他，只是他们之间太过熟络，而他却像一个局外人。
  王宇叹了口气，心想：这些同学中，有多少人能叫出他的名字都未必，就别指望他们带自己玩了。
  第322章
  下了车，大家抵达治安部合作院校的广场前。三中的同学仍旧自发围成一圈，聊得热火朝天，气氛融洽。
  王宇一个人站在一边，颇有些孤单，低头看看自己的鞋，又抬头望了望天，努力表现得不那么尴尬。
  不久之后，他们与来自省内其他学校的参赛考生混合编组，随机分配到不同的机房里。监考官一声令下，所有考生同时接收到一份试题：在一台连接局域网的电脑上，找到并封堵一台被植入后门的服务器。
  收到考题的那一刻，机房里几十双手同时敲击起了键盘，空气中弥漫着无形的压力。
  作为三中竞赛班李大神的表兄弟，张捷的资质和计算机水平也不差。在校内，他虽然不如“李大神”那般耀眼，甚至在家里也只是“大神表哥”的背景板，但在三中竞赛班，他也算是竞赛班里的中坚力量。
  这次治安部的网络安全选拔比赛，他早早做好了准备。
  比赛规则说，参赛者一切操作都在虚拟机上进行，允许他们使用互联网查询资料、甚至安装必要的软件。
  对于那些早已创建了属于自己代码库的同学来说，无疑是极大的便利，而张捷正是其中之一。
  为了这次选拔，张捷特意开发了一套自制的扫描工具——这是一整套自动化检测漏洞的脚本。
  这种工具的核心在于灵活性，尽管服务器环境千差万别，但对代码稍作调整，便可适配不同的情景。
  对此驾轻就熟的张捷略微修改代码，输入目标服务器的ip地址，再点击“启动”按钮——没错，算是为了炫技，他甚至为“启动”功能设置了一个交互按钮——屏幕便快速滚动出一行行密密麻麻的字符。
  字符飞速刷新的同时，他好像古时候考中进士的书生般春风得意。
  悄悄扫了眼坐在两侧的两名选手——他们都是来自不同学校的参赛者，此时，还在埋头苦思，不断尝试写脚本或构思结局思路。
  而他张捷呢，已经通过自制工具开始扫描漏洞了！
  这种题目看似高深莫测，实际上不过是“熟能生巧”！对他这样的编程好手来说，可谓“工具在手，天下我有”。
  他忍不住微微翘起嘴角，仿佛胜券在握。
  然而，10分钟过去了，屏幕上的结果却让张捷有些意外。工具扫描出的漏洞列表竟然长达八十余条，密密麻麻地挤满整个屏幕。
  他愣了一下，随即苦笑着摇头：这台服务器有这么多漏洞，居然还能跑起来，为用户提供服务，也真是勉强它了！
  如此繁杂的漏洞列表，一时之间让他不知道从哪一条着手分析才好。
  他深吸一口气，决定按顺序从第一个漏洞开始排查。
  他依靠自己的脚本，已经比在场大多数考生领先一大步了，也许剩下的考核重点就是耐心呢？就像治安部其它岗位一样，二十年经验的老刑警、破案专家也有可能需要坐在电脑前，不眠不休地观看监控视频呢！
  第一个漏洞是早期系统中十分常见的问题——通信协议过时，缺少加密，导致用户的用户名和密码以明文形式存储在服务器上。
  这意味着，只要有人抓包服务器的通信数据，就能轻而易举地窃取用户信息。
  解决这样的漏洞对于张捷来说完全是初级难度。他攻破了服务器的数据包，提取了使用旧版通信协议的用户列表，发现只有七个账户符合条件，账户密码均以明文存储在服务器中。
  张捷心想：挨个试试呗。
  他尝试用这些用户名和密码组合登录，却发现这些用户全是普通账户，权限受限，顶多只能进行一些基础操作，比如下载文件。
  根本没有一个账户拥有管理员权限，连稍微修改服务器设置的权力都没有，更无法写入任何文件。
  他有些沮丧，但很快压下了情绪，让自己重新振作起来。张捷再次打开扫描工具，分析下一个漏洞——文件共享协议版本过低，存在未授权访问文件目录的风险。
  他用刚才扫描出的7个账号之一登录了该服务，很快发现了其中的问题：虽然许多文件夹都显示为锁定状态，用户无法直接打开，但通过手动输入子文件夹路径的方式，访问子文件夹里的内容。
  这显然是服务器管理者的疏漏。原本，给上级文件夹加锁目的，本就是保护这些数据，不让用户访问，却忽略了用户可能通过路径绕过权限限制的漏洞。