58同城帽子頻道

② 4月7日《非你莫屬》嘉賓黑客「王鑫」的發展如何,,

網上並沒有後續報道。

王鑫是非你莫屬20130407這期，第4位求職者，是學網路安全專業的，節目中求職的意向是58同城的安全工程師。最後58同城開出了8k一個月的薪水，面試成功。

最出名的是他叫板互聯網大佬，才藝展示的時候展示了他發現的一個58同城的某內部系統管理後台，一個管理員登錄頁面。叫板百合網的慕言，還有58同城的段冬。

然而在某天下午17:30分，在騰訊微博上一位叫 Castiel的網友貼了一張圖，展示了58同城某後台的界面，而且是登錄後的！

在17：54分，一位叫光影的「白帽子」在烏雲網站上提交了一個 58同城某後台管理系統的繞過漏洞，可以直接登錄進此後台。並且，該「白帽子」特別註明了，這個後台是《非你莫屬》里出現的那一個。廠商修復後我上烏雲了 解了下漏洞類型，看到了這個漏洞的一些細節情況。

這個漏洞的低級程度就像是個小學生都應該掌握的技巧，屬於在20世紀就已經出現的一種攻擊方式。寫這段代碼的程序員真該被拖出去打屁股。

看到如此低級到不可能被忽略的漏洞後，我想如果這就是王鑫同學看的那個後台，那麼：

1、王鑫同學根本就不懂安全技術，純粹來忽悠的。

2、王鑫同學進去過了，不過台上說沒進去過。（有可能是給大佬們留點面子）。

說點正經的，這件事情可能對於王鑫來說是很大的壓力，不過從他的表現來看，確實尚需磨礪。如果他真的是研究了5、6年的安全技術，而台上的表現又是他的真實水平的話，我覺得他認真考慮一下要不要轉行做銷售。因為你的溝通能力比你的技術好太多了。