之前“淘宝”的漏洞,与“抓包”有什么关联吗?他的行为,有可能被起诉么?

中国最小黑客,现身2014中国互联网安全大会
这个熊孩子叫汪正扬,今年12岁,在清华附中读初一:



为了不做作业,入侵了学校的在线答题系统
利用黑客所谓“抓包技术”花1分钱,买了2500块的东西
人家12岁,修复计算机漏洞100多
你12岁的时候在干嘛?

推荐  (1) | 25人关注关注
21个答案
38 0

渚熏软件工程师,网路安全从业者

2014-09-26 21:46

因为每天上网的时候都是用自己的客户端与服务器交互的,可能是各种app也可能是ie、ff或者chrome等,用这些东西上网的过程中自然会有各种数据产生。这个孩子所进行的抓包的就是在客户端和服务器之间用工具拦截下来,看看这些客户端发给服务器的真正数据 是什么。另外也可以在修改后再发往服务器。这个过程就是“抓包”

这个过程常用的web调试工具fiddler或者burp等都可以进行,即使是https的也可以通过这两个工具生成一份ssl根证书,通过中间人攻击的方式进行解密,这个过程其实不复杂。

这个孩子在这里所说的1分钱的漏洞是这样的:
一般的电商进行支付时,是需要 生成一个支付订单,然后提交给网银或者支付宝等的服务端,告诉他们“我这有一笔多钱多钱的订单”。
但是有些地方这个“多钱多钱”是写在客户端的网页表单里的,然后你一点支付自动把这个“多钱多钱”拼成一个参数告诉网银或者后面处理支付的网页要交多钱多钱,所以如果修改了这个数字,比如2500的改成0.01,自然后面收钱那里的金额就是0.01了。

成熟的电商一般不会在支付上面有这么大的问题(真金白银啊),而且即使系统有问题,很多时候还有人工审核这一步,但这也不是绝对的。

相关的例子可以参考乌云的实际案例:
http://www.wooyun.org/bugs/wooyun-2010-071602
http://www.wooyun.org/bugs/wooyun-2010-070731
还有大电商的比如京东在早些时候也有这样的问题(就不吐槽他们的那个忽略了):http://www.wooyun.org/bugs/wooyun-2010-012528
http://www.wooyun.org/bugs/wooyun-2010-012528

他做的这个攻击,应该属于白帽子的渗透测试行为,也就是测试完了告诉厂商你这有漏洞,而且在厂商修复之前也不公开,算是“雷锋”。 法律上可能会有风险,因为进行渗透测试前未取得厂商的授权。不过一般的厂商是不会傻到去起诉一个来当雷锋的白帽子的,这就违背安全界的道德了,以后也不大好混。新闻里面炒作的成分比较多 ,实际上这孩子应该没有实际的去利用这个漏洞买东西,要不早就被抓了。

最后想评价一下这娃,不知道他是不是乌云上那个知名的小学生白帽子。楼上有些人评论这个东西多简单多容易如何如何的,真正的电商如何如何,真正的黑客如何如何,要这个那个的能力什么什么的,感觉就像那个“俩老太太唠嗑说皇上家天天吃烙饼蘸蜂蜜”一样。毕竟这孩子只是12岁 ,现在看来对web安全已经算比较了解了,修过100多个漏洞,如果按照这个路子走下去再过几年就是个不错的渗透测试人员了。
说是中国最小的黑客什么的确实有点夸张,但是要说他普通,我觉得不如瞧瞧周围12岁的小孩现在都在干什么,他图里贴几个漏洞里那个csrf上次我面一个以前的同事都没答出来。

30 1

傅里叶变黄油猫软件工程师,应用数学专业

2014-09-26 00:53

抓包和漏洞没关系,抓包只是拦截客户端与服务器之间通讯的手段,在入侵中只是最基本的、不值一提的操作,就像写一篇孙扬夺得亚运金牌的报道,你不会特意描写他穿着泳裤吧?

根据图上的信息,他的基本入侵手段是抓包、改包,利用业务漏洞攻击,“给厂商的一点建议”也说得不错,不过在真黑客眼里这些漏洞和攻击手段都是业余级别的,如果真有这样的漏洞,抓包都用不着,看看网页源代码再用curl就搞掂了。

不过对于一个孩子来说,能做到也算不容易,说明他很聪明也对这行很有兴趣。不过这种级别的攻击还不需要什么高深的知识和技巧,我估计问他一些基本知识他都未必能答上,因此要成为一个真正黑客还需要从打好根基开始。

补充今天看到的一个采访报道:http://epaper.bjnews.com.cn/html/2014-09/28/content_538085.htm
漏洞和淘宝没有关系。

12 0

12岁,不是刑事责任的起算年龄
从十四岁才开始起算,只有杀伤强抢放贩爆投,这八个罪。


篡改学校成绩单这个是可以构成破坏计算机系统罪的。学校一般不会让你肄业的,挂科也有清考,为了改成绩最后搞成不能毕业甚至被开除学籍,显然得不偿失,对不起父母对不起自己啊!


案件判例-法制网 入侵北方民族大学教务管理系统案一审宣判
http://www.legaldaily.com.cn/legal_case/content/2011-05/03/content_2632341.htm?node=30193

8 1

Jokies本人原创内容严禁转载至新浪、腾讯及百度

2014-09-26 07:56

根本不值一提。支付系统如果连来源校验都没有根本不可能上线。
————
没啥,媒体想着做个大新闻而已。
米特尼克书里写的那种脚本小子,其实中国挺多的。我初中那年新闻还报导还有个 10 岁的孩子入侵了某银行的数据库,而且成功修改了一些数据,但核帐时被发现,进少管所了。http://www.zhihu.com/question/25460323
http://www.zhihu.com/question/25460323
————
网上有自称与其同校的学生指出媒体报道“利用学校作业系统漏洞篡改成绩”一事是谣传,请各位谨慎考量,毕竟他还是个孩子。

6 0

土豆地蛋电子科学与技术

2014-09-26 13:51

1,不懂之前淘宝漏洞是什么发生了什么,看别人的回答感觉这玩意儿不是多么难的技术。

2,这么小,应该是批评教育为主,罚个什么劳动之类的为辅吧。

3,12岁的时候在看数码宝贝。。。

5 1

抓包只是获取特定的数据,就是运行软件,选择抓包的设备/接口,简单。
抓包后还涉及到数据的解读,这个需要资料,技能,运算能力,运气等等。而且现在大部分数据都加密难于解读。
如果是在测试系统中使用给上述技能,完全不违法。
如果是在生产系统中使用给上述技能,违法;但我想说的是成熟的支付系统不可能有“花1分钱,买了2500块的东西”的漏洞的。
其实,我也可以些个计算机程序,有漏洞100多,然后自己修补好;这个是玩笑!
我12岁的时候,上小学,爱去了解外面的世界,骑车到处跑。觉得这个年纪是认识自然界的年纪;大好时光,应该多运动。小孩子久坐,缺少少运动和对现实世界缺乏经历,日后身体和心灵会不太好。。

2 0
支持者: okls HomeAnimator

偷听而已
当然偷听加密信息就需要功夫了

2 1

卢瑟傅里叶想要改变世界,上帝没给我源代码

2014-09-26 17:40
支持者: okls HomeAnimator

信息量不足无法判断这孩子是不是真黑客。

第一幅图只是用浏览器的 Inspector 抓了 HTTP 协议请求和响应而已,每天 Web 开发人员不知道要重复多少次这种操作。
第三幅图给厂商的建议里,每一条说的倒是都没错,但是非常基础。像淘宝这么大的网站,不可能不知道防范 XSS、CSRF、SQL Injection、表单校验之类的,不然根本通不过公司内部安全平台的扫描,更不可能批准上线的。

不排除个别经验欠缺的程序员提交了有漏洞的代码,然后测试团队没有发现就被发布上线,不过这种可能性太小了。而且像淘宝这么大的公司,必定有24小时不间断扫描生产环境的安全系统,一旦发现上述级别的漏洞就会发邮件给相关干系人。

总之,黑客不是那么好当的。

1 0
支持者: lego-style

12岁 我去 ,12岁还在按部就班的跟同学一样啊 。中国人12岁干嘛我就干嘛

0 0

所谓的抓包是指在互联网通信过程中接入特定的服务端口,用来分析传输的数据流,这就是抓包。抓包对于明码传输有用,因为数据都是透明的。支付宝不是,支付宝所有的通信都有自己的一套加密机制,你抓到了没有特定的解码器,完全看不懂。

1 1

冰火梦幻信息与计算科学学士,算法控,AI爱好者

2014-09-26 10:10
支持者: HomeAnimator

媒体造星而已。
信以为真你就输了。

1 1

没空的人懂一点计算机和生活上的事情,认真灌水。

2014-09-26 23:57
支持者: 冰火梦幻

抓包的意思是说,本地计算机与远程计算机通信的时候,通过本机的软件或者在通信的过程中间增加一个第三方,获取本机发送出去的数据,以及从远程计算机接收到的数据。
漏洞的意思是说,因为计算机或者服务器因为软件的缺陷或者管理员的疏忽,造成第三者在他人不知情的情况下,以及在没有获得授权的情况下,登录他人计算机或者服务器,进行任何操作。
定义搞清楚之后,这么说,抓包不一定是因为淘宝的漏洞,比如说我想知道本机发到服务器的数据有那些。
其次,淘宝服务器的安全级别有这么低么?
有没有注意过在网上买东西,进入支付宝支付页面的时候,那个页面上的地址栏显示的是什么?
https啊。
/* 翻墙的时候有没有注意过访问FB和Twitter的时候地址栏显示的也是https?*/
别忘了https是干嘛用的,真的以为淘宝是吃干饭的?
没有还原的算法,抓到了加密数据如何解密?
别闹。

0 0

这个新闻让我想起来我玩过一个游戏叫QQ飞行岛,在那个游戏里面可以通过抓包修改数据来无限放技能,我用这种方法很快刷到满级然后不玩了,这是不是也算黑客行为啊,要是算的话我那时候没比这位大多少。

0 0

这是tb么....这太不应该了好吗..传输一个包含购买物列表的数据结构不行吗,纯客户端计算总价真是丧心病狂,做得一手好死,嗯就是改个总价...话说这电商蠢得可以.服务器端验证没有那么消耗资源吧,搞个会死么.这蛙想象力倒也丰富...我就想不出呢...好机智

0 0

Poruin网络安全爱好者

2014-09-29 11:30

据我的经验,小孩说的都是些较浅的内容。积极引导,10年后应有大作为。
所谓抓包就是截留数据包以明文保存。

0 0

这孩子只能说是一个人才。。。


抓包=分析=找到漏洞,都是需要很高的技术要求。。。。。既要懂得TCP协议,又要懂WEB知识。。


12岁能做到这些挺不简单了。。。。。拍死在沙滩上中

0 0

1,抓包技术不是什么难事,网上一大堆工具

2,这不光是抓包,这是握手欺骗,十年前就很普遍了

3,现在还死于sql注入那就比较活该了,这是很老的东西了,防止sql注入是网站基本功。

六年前就兴起了大量的黑客培训班,教一些工具性的黑客方法,这个孩子才12岁很难理解数据库构架,汇编与反汇编,各种接口/协议等等基础理论,应该就是看教程使用工具这一类。

别拿小孩子来博眼球,这很可能会误导这小孩的发展,起码会误导很多小孩。

0 1

从360库带计划的安全工程师计东那里了解到,汪正扬同学提交的实际上是一个弱口令漏洞。造成这种情况的主要原因是:很多教师使用了非常简单和常见的短密码,使他人可以比较容易的破解和登录教师帐号,进而可以查看他人的成绩、学分等信息。而网站系统在要求教师设置个人密码时,并未进行简单密码过滤,没有对教师设置的简单密码进行风险提示。目前,360库带计划已向相关建站平台开发厂商报告了此漏洞中的密码复杂度验证问题。

话说弱口令算啥漏洞,设置123456的人明显是知道就算别人猜出来也不会有什么损失,至于845269之流的纯数字,说是弱口令,但是按现在网站输出错几次就要等一天的常规,一百年也没法暴力破解吧。

3 5
支持者: 深夜坐家 乐趣多

这是在逗我么?和上次那个军队女程序猿有区别么?
学校的系统往往都弱得离谱,完全不设防,我才不说我比这家伙小的时候,几十秒写了几行代码就搞摊整个大学校区的网络了。(那个时候大多数人还没听说过网络吧,包括万维网和局域网,咳咳暴露年龄了)
抓包神马的,我就不吐槽了,下次我发个我教小朋友插插头和开电源的文章。
点反对的估计是看不懂我的吐槽,233
…………………………分割线……………………………………
可能是我对技术要求比较高,比如刚有人要求我电泳跑好看点,我就自动脑补成完美的形态,最后给的样图被我平时做的结果甩几条街。
我眼中的黑客可不是只是这样就够了。
http://www.zhihu.com/question/25543966
另外这里还有个10岁黑了全城的,比我当年还小。

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2018] 6282-492号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区