今年的注会成绩可谓一波三折,从6日传言中注协开会,到7日早晨第一次查到分数,再到7日中午第二次查到分数,再到7日下午谣传的官宣出炉,直至7日晚上6时中注协依然没有发布官宣。

7日早晨分数的查询,入口是2017年分数查询的入口,将查询表单中的隐藏输入“annual”的值从2017改成2018,进而使查询页面认为已经开放了查询,从数据库中调出来考生的信息和成绩。就像一位考友说的,这只是一次非友好访问而已。很快中注协发现了问题,修改了代码,关闭了这个查询通道,持续时间很短暂,据说不到半个小时。但是这一可以查询的事实,证明了2018年考试成绩已经导入到数据库完毕。

7日中午分数的查询,入口是报名系统中的历年成绩查询界面,其中有一个按钮点开可以查询到本年成绩,该按钮也是一个表单,其中也有“annual”的隐藏值,将其从2017改成2018后,同样可以查询到2018年的成绩。该查询通道从中午十一点半被发现,直至下午两点多被修复关闭,持续时间约两个半小时,相信很多考友都在这个期间查到了成绩。这次中注协修复迟钝,应该和中午下班吃午饭有关系。

下午三点半,有位考友在2017年成绩发布公告的基础上,通过修改代码,制作了2018年成绩查询的公告,该公告一度骗取了很多人的信任,连杭建平老师都在微博上转发了这个图片。该图片的漏洞在于,没有修改阅读量,刚刚发布的官宣,不可能迅速达到13万多的阅读量的。这也是制作人故意留下的漏洞。

下午五点多,沉默了数天之久的中注协公众号发了一条与成绩发布无关的消息,预示着今天发布成绩已经无望,因为微信公众号每天只能发布一次,所以大家可以不用等待官宣了。

中注协到底在干什么,本人斗胆预测如下:

1、针对今天两次被利用漏洞查询成绩的事实,中注协有理由怀疑分数查询系统存在更多的漏洞,不怕被非友好访问查询到已经确定了的成绩,他们更担心的是,会不会存在有人利用其它的漏洞进入到系统篡改了成绩的风险,所以中注协需要进一步确定系统是安全的,然后最方便的做法是删除已经导入系统的成绩,将备份的成绩数据重新进行一次导入。再次导入成绩不需要多少时间,但排查漏洞需要的时间就不好说了。

2、中注协发布成绩的官方公告,需要协会的主要领导签发,甚至需要财政部的分管领导签发,领导出差、开会等等原因,都有可能无法及时签发文件,那么官方公告一时半会儿就出不来,虽然这个签发可能只是过目一下,但程序必须要走。

3、报名公告里提到公布成绩的时间是12月中旬,可能会有领导认为,既然已经公告成绩发布时间了,就是拖到10号公布,好歹也算是中旬了,总不能自己说话不算话吧。但是出了非官方查询的漏洞这个纰漏以后,参照第一点,有可能10号成绩都未必能顺利公布。

有人一直怀疑今天查到的成绩是不是真实的,我想说的是,如果你查询到的成绩,准考证号码与你真实的准考证号码,只有第二位7和8的区别的话,那肯定是真实的,别人谁也不知道你的准考证号码,谁也不知道你去考了哪几门啊?

至于说中注协会不会因为今天的事件暴怒,以至于调分,大家可以安了,浙江刚刚出了调分的事故,厅级领导都被免职了,中注协不会愿意走他的后路的。

以上个人意见,欢迎文明交流!

转自转发 ​​​