〔即時新聞/綜合報導〕曾經刪除臉書創辦人祖克柏的貼文、協助輕生藝人楊又穎家人解鎖手機的網路高手張啟元,今年4月發現台灣有3分之2電子商務網站有天大的漏洞,甚至只要簡單幾個步驟,就能用1塊錢在ibon購票。現在張啟元又有「新發現」,成功破解統聯客運網站,用1塊錢買到台中往台北的車票。不過統聯以張涉侵占罪嫌,向警方備案。
《蘋果日報》報導,21歲的張啟元上月底在統聯網站上購票,發現購票系統中的「金流串接驗證」有漏洞,他用線上刷卡方式買台中到台北、1張220元的票券,先在統聯網站登記票數及座位,並選擇以信用卡付款,接著以瀏覽器的「開發者模式」修改華南銀行網站上的票券金額,如此一來就能用1元買到票。
報導指出,張啟元購票後果真從台中搭車到台北,還主動跟統聯櫃台告知系統有漏洞,不過統聯立即向警方備案,雙雙進警局。統聯客運總經理認為,這是信用卡的漏洞,「我們沒有漏洞」,且張主要是更動華南銀行網站頁面,跟統聯沒有關係,因此向警方備案,他也說,不會跟張啟元有合作,稱「跟張合作要去哪邊鑽漏洞嗎?」
張啟元則說,他只是想提醒統聯,若有心人士利用此漏洞退票,便可從中獲利,以台北到高雄1張1千元,都以1元購票,一車約30個位置,就可輕鬆賺到約3萬。
~~~~
微軟會對找出系統bug的人發獎金
統聯則是對找出系統bug的人提告
舉例來說今天你點了一個套餐,點餐網頁也許可以讓你選擇你的套餐要幾份薯條,可能有1~10份的下拉選單讓使用者選擇
而這個選單的"份數"是可以修改的,例如我雖然選了一份,可是我修改藏在網頁後面的"份數",把份數變成100份再送出結帳,這時候如果傳送過去的"份數"在餐廳的伺服器沒有再做一次驗證而讓它通過的話,那我套餐的薯條就會變成100份。不過大部分有牽扯到金流的都會驗證這塊,所以真的是看程式撰寫的嚴謹程度如何。
上面的舉例目前仍然可以在某間餐飲業者的點餐系統發現....雖然我也有回報給他們不過目前是還沒修改的。
基本上對Web程式設計師來說並不難,但通常不會花時間去幫不相干的企業找Bug
內文搜尋
從 APP 打開
X