两学生篡改晨跑数据并非法获利

    今年3月，上海一家高校发现网站后台遇袭，大批学生晨跑数据被篡改。上海市公安局松江分局调查发现，这是该校的两名学生所为。

    2013年12月，陈某、张某因为没有定期参加学校组织的早锻炼，担心自己的全年学习成绩受影响，便试图通过“SQL注入”的方式侵入学校网站的体育成绩系统，并成功修改了自己的晨跑数据。

    SQL注入攻击是黑客对数据库进行攻击的常用手段之一，其漏洞在于相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断。黑客可提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。由于SQL注入是从正常的www端口访问，且表面看起来跟一般的网页访问没什么区别，所以能轻松骗过防火墙和管理员。

    陈某、张某修改晨跑数据的消息在该校学生中很快传开，引起许多同学的关注。随后，两人从部分学生对晨跑的畏难情绪中，嗅到了“商机”。4个月内，陈某在同学中充当“介绍人”，张某入侵后台篡改数据。按修改每次晨跑收取15至20元不等的“手续费”，他们非法获利8万余元。

    目前，该高校的这一系统漏洞已被校方修复。这两名学生已被公安机关依法采取刑事强制措施。

    (《东方早报》5.8杨洁 韩晓蓉 龚莉 刘璐茜)