网络安全|某互联网企业举办网络安全比赛,有员工以零分获得头名

网络安全|某互联网企业举办网络安全比赛,有员工以零分获得头名

文章图片

网络安全|某互联网企业举办网络安全比赛,有员工以零分获得头名

【网络安全|某互联网企业举办网络安全比赛,有员工以零分获得头名】近期 , 某互联网企业为了提升网络安全的综合防御能力 , 选拔实战型网络安全攻防人才队伍 , 举办了一场线上网络安全知识比赛 。 结果最后某员工以零分的优异成绩获得第一名 。 领导得知结果后很诧异 , 找人一起查看原因 , 发现原来考试系统里边只有这名员工的考试信息 , 其他员工的考试信息都不见了 。 最后面仔细排查日志发现考试快结束时是管理员删除了考生信息 。 然后考试系统管理员就是领导自己 , 领导当然不会去删除信息 。领导又仔细回想了重置密码后是否有泄露密码信息 , 发现重置密码后只有自己一人掌握 , 并没有对外提及或者留下记录 。 密码也是高强度型密码 , 被套出的几率很小 , 确定不可能是密码泄露导致的 。

旁边的员工仔细查看日志 , 发现这个管理员账号操作的IP不是领导使用的电脑 , 而是跟剩下员工的考试IP相同 , 继续排查下去发现了一些蛛丝马迹 , 该员工通过考试网页的一个漏洞发起了攻击最后劫持了管理员会话 。 然后利用管理员权限删除了其他同事的考试信息 。
领导看到这里不得不叹服 , 其他人还在老老实实的做理论题的时候 , 有人已经开始实战奠定了胜局 。

这个也让笔者想到了程序界发生过的一些比赛事件 。 曾经国外有一个算法大赛 , 每人可以提交两个程序 , 以最快得到正确结果的程序获胜 。 结果有人有个程序只花费了几十毫秒 , 与其他程序的差异太过巨大 。 最后分析他的代码发现他的第一个程序算出结果后 , 把结果存在了一个服务器的文件里 , 第二个程序就直接去读取存放在文件里的结果 。 第二次比赛的时候就只允许提交一个程序了 , 第一名的得出结果的时间竟然是个负数 , 这就惊呆了所有的评委 。 最后评委们查看代码发现这个选手在最后调了系统时间 , 把时间往回调了几十秒 。 最后这个比赛被取消再也没有举办过了 。