文集/所謂天才黑客 – 「攻擊網站才能找到漏洞」

作者

最近炒的沸沸揚揚的」 12歲黑客」，參加了互聯網安全大會而且還吹到「修復了100多漏洞」，開始我還沒怎麼噴，因為這種炒作見多了，直到今天看到了這樣一篇報道：

> 汪正揚：寫程序沒人教過，都是看書自學的，最初學習編寫Windows用的VB語言，代碼都是英文所以進展很慢，(...)

代碼都是英文.... 都是英文.....是英文.... 英文.....

> 新京報：尋找網站漏洞，是不是意味着要去攻擊這些網站？
> 汪正揚：你想找到漏洞，必須要先攻擊這個網站，只有實現了這樣的操作，才能給對方提交報告說這裏存在漏洞，提出修補建議。

找漏洞之前，要先攻擊這個網站.......你對網站發起攻擊，管理員把你屏蔽掉，你連網站都訪問不了，找你**漏洞？

還有一個問題

> "利用黑客所謂'抓包技術'花1分錢，買了2500塊的東西。"

在安全大會上圖片上方可以模糊看到大概是在 PayGateway.cgi 處替換請求修改價格來實現的1分錢買東西

>網站密碼校驗有一個地方出了問題，我就把原價2500元的商品修改成了1分錢，等於說有2499.99元的折扣。提交完漏洞後我把密碼退回去

在網易新聞上他說是密碼校驗出了問題後來又把密碼改回去了，除了系統弱口令還有別的可能嗎？

在兩個地方解釋的完全不一樣？這炒作太無腦了吧