※ 引述《GTA0328 (东大6哥)》之铭言：
: 自由时报
: 天才骇客又破解了！这次1块钱买统联车票
: 〔即时新闻／综合报导〕曾经删除脸书创办人祖克柏的贴文、协助轻生艺人杨又颖家人解
: 锁手机的网络高手张启元，今年4月发现台湾有3分之2电子商务网站有天大的漏洞，甚至
: 只要简单几个步骤，就能用1块钱在ibon购票。现在张启元又有“新发现”，成功破解统
: 联客运网站，用1块钱买到台中往台北的车票。不过统联以张涉侵占罪嫌，向警方备案。
: 《苹果日报》报导，21岁的张启元上月底在统联网站上购票，发现购票系统中的“金流串
: 接验证”有漏洞，他用线上刷卡方式买台中到台北、1张220元的票券，先在统联网站登记
: 票数及座位，并选择以信用卡付款，接着以浏览器的“开发者模式”修改华南银行网站上
: 的票券金额，如此一来就能用1元买到票。
: 报导指出，张启元购票后果真从台中搭车到台北，还主动跟统联柜台告知系统有漏洞，不
: 过统联立即向警方备案，双双进警局。统联客运总经理认为，这是信用卡的漏洞，“我们
: 没有漏洞”，且张主要是更动华南银行网站页面，跟统联没有关系，因此向警方备案，他
: 也说，不会跟张启元有合作，称“跟张合作要去哪边钻漏洞吗？”
: 张启元则说，他只是想提醒统联，若有心人士利用此漏洞退票，便可从中获利，以台北到
: 高雄1张1千元，都以1元购票，一车约30个位置，就可轻松赚到约3万。
: http://m.ltn.com.tw/news/life/breakingnews/1506797
来说说为何有些人会觉得乡民推崇他很厉害，是人才，FBI、国安等等的应该招募他
我个人不认识他，也不知道他的能力
所以就来说说新闻说的开发者模式是如何作用的
首先，下载google chrome浏览器
下面那个网站给各位简单的测试一下
http://zzzscore.com/1to50/en/
简单的从1按到50而已
看看秒数，比谁比较快按完而已
随便按了一下
http://imgur.com/TiX8gHL.jpg
然后对数字点右键，选择检查元素
http://imgur.com/DbMzhs2.jpg
接着下面就会跳出传说中的开发者工具
将数字点两下反白
http://imgur.com/6jUpvLj.jpg
并改成你要的数字
http://imgur.com/cDLbS24.jpg
并按下F12将开发者工具关闭
好了，你看我1按到50只要1秒多耶
我是不是超神

楼下立伦

就说了是台湾的环境才会造神...也因为台湾的资安都不安才有机会

正解推

你说法是对的 但是他要刷条码去做验证价钱 而不是看标签

台湾上面要东西都马上要马上要看结果的 没时间验证不意外阿

酸葡萄

其实他只是证明了台湾一堆程式设计师的code写的多烂

坏蛋~

不是code写得烂 而是被cost down给你的回应产物

真有心还愿意解释给推

你说的是真的，想学可以去交大网战学

22K的code水准就这样阿 你能要求什么? 能动就好

因为写那些验证功能要加钱啊 www

台湾公司太不在意品质，品质就是这些看不到的安全性问题

这根本是工程师恶意搞厂商

台湾一堆网页都给人家接案做的

都会觉得无所谓 便宜就好 管他安不安全

一堆蠢肥宅捧得像神一样 你坏坏

反正到时候爆掉又不关22k的事 了不起拍拍屁股走人

他们有一堂课就是资安的，还有一个游戏 wargame颇有趣

然而那些案子的价格杀的太夸张了品质就是这样阿

你的比喻还不错

上次fb就看出来低等级没料 还有人在捧阿

你这哪送得到后端数据库骗别人没用过火狐?

做金流会选择直接相信前端来得金额资料代表没做过金流XD

这只是使用者预览接口而已

有很高机率是故意的产物

最好是前后都要做 只做一边都很不保险...

统联也只是鸵鸟心态 洞就明摆在那边 不修就其他人钻

反正后端没检查我前面key他就回去啥很刺激

哦~~~

把key藏在html里面到底多蠢才做得出来= =

所以你发现了吗??有人肯花时间去试验 比只会嘴砲强多了

台湾之星之前的文字验证那个也很蠢阿XDDD

帮她验证我又没钱赚 傻了

这种程度不是发现不了,是根本不会想要去试...

所以统联的系统废成这样 他帮揭发不好吗？

蠢肥宅不知道在护航崩溃啥XDDD 那么爱造神

害我整个兴趣来了 开始找网站 XD

就写的时候要求一堆啊，嫌速度慢干脆不check了

我反问一个问题 为什么写这么烂的程式还可以赚钱写的那么烂 为什么可以开公司 变成专业人员 赚钱?

因为厂商的口袋跟眼界决定程式的强度

写这么烂 可以在业界打混 可以拿到订单???

劣币逐良币

反正就是台湾没有乌云网啦

别问，只要够懒还有网站改个querystring就可以看其他会员的资料，我整个人都害怕了

所以你应该去当这个破解的人 还是用烂程式的公司?你去当破解的人 不就是帮惯老板继续用烂程式吗?

大家只是单纯不爽媒体造神而已

重点只是台湾老板一堆没有sense又不想花钱，所以一堆学生等级的网站XD，甚至更惨

我以前提出系统漏洞也是会被公司无视呀反正只要快快可以完成合约 唬住客户就好了CODEING 会没价值 其是都是自己人 会对老板说一句COPY 一下 改很快 XDXDXD 然后自贬身价

就自己刻个页面post出，台湾廉价工程师coding心态是能动就好，好点的前后端给你卡防呆，废点的卡前端而已就死啦

前后端都要防呀 要不然被YOYO绕过前端 就麻烦了XDXD

用这招还是会输入信用卡号 事后还是能抓到人 考虑到建置新系统的成本 如果我是惯老板还是会继续沿用 顶多缩短查帐的期间 事后再提告诈欺或妨碍电脑使用之类我想很多看似不完善的系统会持续存在是出于经济因素

除非他有拿这名号去招摇撞骗 不然捧一下也还好啦

是"再", 不是"在".....看得很痛苦

推推

会说他厉害 不是因为他怎么做 还是他做了些什么懂?不然这些我也会阿

上面文组在抓错别字哭哭了

要求把字打正确就叫哭哭？楼上先崩溃了吗？科科再在不分本来就影响阅读 何况还从头错到尾(非针对原po

什么?! 那个编辑不是存在本机喔?

既然这些你也会，那他到底做了什么让你觉得他很厉害？

成本问题 如果是银行就不一样了 改再多顶多捞个小钱

那个编辑是存在本机没错，但是 post 的时候浏览器会去

厂商就挑便宜的 银行大笔资金保安系统就不一样了

什么等级的网站就用什么等级的防护 都是成本考量叫统联花一推钱提升安全等级很难 也没啥必要...

糟糕Xd

明显，你用的案例只是自爽，server那接到的数字不一定是你改的数字，要改就要看一下POST或GET出去的资讯，从那

之前就看过台湾某游戏的活动页面，居然直接把所有玩家的帐号密码写在里面…

下手才有用

如果是这种等级的漏洞 那你更该大力嘲笑被骇的网站

现在金流不前台金额都辅助，都是以刷卡付多少为准

所以你有破解过统联或其他有价票券网站嘛＝＝