• UPDATE BY TYPCN on 10/3/2014 15:31

    我本意只是喷喷媒体,并没有黑某个人的意思,但是都被歪曲了,看了他团队人的发言,我对之前的言论感到抱歉,同时再次严重鄙视360(shabi) 市场部门,他只是炒作的受害者,请不要再散发相关信息。


    最近炒的沸沸扬扬的 " 12岁黑客" , 参加了互联网安全大会而且还吹到 “ 修复了100多漏洞 ”,开始我还没怎么喷,因为这种炒作见多了,直到今天看到了这样一篇报道:

    汪正扬:写程序没人教过,都是自学

    地址: http://news.163.com/14/0929/16/A7ARSGEN00014AED.html 永久备份(墙): http://l.eqoe.cn/32t

    新京报:你是怎么学会编写程序的,都遇到过什么样的困难?

    汪正扬:写程序没人教过,都是看书自学的,最初学习编写Windows用的VB语言,代码都是英文所以进展很慢,要一个字母一个字母地记单词,不懂还得用翻译机查出后记下来。现在看来,我英语成绩比较好,跟一直学编程代码有关系。

    1 : 代码都是英文

    在任何一种编程语言中,都只有几十个英文关键词,可以说就算你不懂英文,只要认识字母,然后背下常用关键词来就可以编程。

    2 : 用翻译机查代码

    这个不多说了,翻译机基本翻译不出专业词汇和任何代码。

    新京报:寻找网站漏洞,是不是意味着要去攻击这些网站?

    汪正扬:你想找到漏洞,必须要先攻击这个网站,只有实现了这样的操作,才能给对方提交报告说这里存在漏洞,提出修补建议。

    3:要找漏洞,必须先攻击

    你对网站发起攻击,管理员把你屏蔽掉,你连网站都访问不了,找你**漏洞?

    4:一个问题 不同答案

    首先 我们看他在安全大会上:

    QQ截图20141003112117

    图中我们可以看出,他是通过抓包并修改在 BankPayGateway 处 的数据, 很明显他是通过替换请求的方式 ,来修改价格 。

    可是在网易新闻这里:

    网站密码校验有一个地方出了问题,我就把原价2500元的商品修改成了1分钱,等于说有2499.99元的折扣。提交完漏洞后我把密码退回去
    密码校验出了问题,有两种可能: 1 服务器弱口令 比如用户名123 密码123 2 SQL注入漏洞 如用户名 admin or 1 = 1

    这跟在安全大会上说的完全不一样啊?

    是不是背稿子背错了?