查看“《所谓天才黑客 – “攻击网站才能找到漏洞”》”的源代码

== 作者 ==
[[实名/刘腾宇|刘腾宇]]
== 原文 ==
https://www.v2ex.com/t/136884
== 正文 ==
最近炒的沸沸扬扬的 ” 12岁黑客” ， 参加了互联网安全大会而且还吹到 “ 修复了100多漏洞 ”，开始我还没怎么喷，因为这种炒作见多了，直到今天看到了这样一篇报道：

http://news.163.com/14/0929/16/A7ARSGEN00014AED.html


> 汪正扬：写程序没人教过，都是看书自学的，最初学习编写Windows用的VB语言，代码都是英文所以进展很慢，(...)

代码都是英文.... 都是英文.....是英文.... 英文.....

> 新京报：寻找网站漏洞，是不是意味着要去攻击这些网站？<br>> 汪正扬：你想找到漏洞，必须要先攻击这个网站，只有实现了这样的操作，才能给对方提交报告说这里存在漏洞，提出修补建议。

找漏洞之前，要先攻击这个网站.......你对网站发起攻击，管理员把你屏蔽掉，你连网站都访问不了，找你**漏洞？


还有一个问题 

> "利用黑客所谓'抓包技术'花1分钱，买了2500块的东西。"

[[文件:swtchk.jpg]]

在安全大会上 图片 上方可以模糊看到大概是在 PayGateway.cgi 处替换请求修改价格 来实现的1分钱买东西

>网站密码校验有一个地方出了问题，我就把原价2500元的商品修改成了1分钱，等于说有2499.99元的折扣。提交完漏洞后我把密码退回去

在网易新闻上 他说是密码校验出了问题 后来又把密码改回去了 ， 除了 系统弱口令 还有别的可能吗？

在两个地方解释的完全不一样？ 这炒作太无脑了吧

== 评论 ==