文集/所谓天才黑客 – “攻击网站才能找到漏洞”

作者

最近炒的沸沸扬扬的 ” 12岁黑客” ，参加了互联网安全大会而且还吹到 “ 修复了100多漏洞 ”，开始我还没怎么喷，因为这种炒作见多了，直到今天看到了这样一篇报道：

> 汪正扬：写程序没人教过，都是看书自学的，最初学习编写Windows用的VB语言，代码都是英文所以进展很慢，(...)

代码都是英文.... 都是英文.....是英文.... 英文.....

> 新京报：寻找网站漏洞，是不是意味着要去攻击这些网站？
> 汪正扬：你想找到漏洞，必须要先攻击这个网站，只有实现了这样的操作，才能给对方提交报告说这里存在漏洞，提出修补建议。

找漏洞之前，要先攻击这个网站.......你对网站发起攻击，管理员把你屏蔽掉，你连网站都访问不了，找你**漏洞？

还有一个问题

> "利用黑客所谓'抓包技术'花1分钱，买了2500块的东西。"

在安全大会上图片上方可以模糊看到大概是在 PayGateway.cgi 处替换请求修改价格来实现的1分钱买东西

>网站密码校验有一个地方出了问题，我就把原价2500元的商品修改成了1分钱，等于说有2499.99元的折扣。提交完漏洞后我把密码退回去

在网易新闻上他说是密码校验出了问题后来又把密码改回去了，除了系统弱口令还有别的可能吗？

在两个地方解释的完全不一样？这炒作太无脑了吧