主题：黑客与许霆 -- yhz

假如我是一个黑客，在某次使用网上银行交易的时候，发现了银行系统的一个漏洞（例如说什么缓冲区溢出之类的）。然后我利用了这个漏洞，先后170次获取（或者转移）17万现金。

那么，我的行为是属于“不当得利”呢？还是属于“非法侵入的盗窃”呢？

许霆利用了ATM机器的故障，我利用了网上银行的漏洞；

许霆是“正当操作”，那我利用银行提供的网上银行API和协议也是进行“正当操作”；

许霆通过操作银行的ATM机来获得那些钱的，没有进入金库之类的，那我也是利用自己的鼠标键盘，也没有进入金库之类的；

许霆用自己的银行卡操作，我也用我自己的帐户名和密码操作；

…………

按楼主的描述,就不是黑客而是顾客,请确定黑客的定义.

如果(因楼主没有给出技术细节)这个网络银行案的错账情节与许某的同类,即结算BUG是对顾客有利,例如取款1000元记账为1元,且设定后续情节都一致,则结论是:

该顾客构成了恶意透支的罪行.跟某对许某案的判断一致.

论据就是这个网络银行的错账是可以恢复的,一旦查出错账原因就可以加以恢复,从而确定本案的嫌疑犯是恶意地超额透支.

某些人始终试图把不同的身份对立起来，以此达到混淆视听的目的。不是没有学过，就是根本不懂得辩证法。

建议把“黑客”两个字改掉。是不是“黑客”这个身份根本无所谓，关键是做了什么。

例如说常见的做法就是发现某个API有缓冲区溢出的漏洞。

那么我就可以精心的构造一段数据，交给这个API执行，然后就可以提升了我所拥有的权限，然后接管部分或者整个系统。

但是不管怎么样，我黑客的做法都是调用公开的API，使用标准的命令来完成我所需要的各种操作。在这点上，我和所有的正常的顾客是一样的。

用这个打比方比较通俗易懂。

呵呵

问题是脑子清楚的人知道，但难免也有人会告诉既然是“黑客”，就不是“顾客”，既然是“顾客”，就不会是“黑客”。

所以，还是说清楚比较好嘛

不要狡辩.你若是顾客,就从头登陆别动服务器.任何黑客都要入侵,您都修改API往上装了,都控制整个系统了,还自称普通顾客?你以为别人跟你一样脑筋短路啊?

我用的就是他们自己的API啊。

我执行的也是他们API给定的操作范围，有什么错？

至于说控制系统，那只是我的合法操作的结果，就好比许霆通过合法操作，取了1000块钱却只扣1块钱一样，是操作的结果而已。

不就是说,一个人入侵系统改服务器程序,另一个作为顾客再去登陆交易?

真的是利用系统BUG?制造一个BUG装上去,这个不是入侵?

难以理解........

系统入侵，大部分情况下都不需要修改执行的服务器程序，只需要修改运行程序的权限就可以了。

打个比较通俗的比方，就是如果一个客户登录网上银行，那么他的权限就是普通客户，可以对他自己的帐号进行操作。

但是如果我能够通过么偶些漏洞，使我的权限提升到营业员的权限，那么我就可以无中生有的给我的帐号“存钱”了。（当然，实际情况中，没有哪个银行会把这些权限和网上银行连接在一起，只是一个比方而已）

通过某种合法但无意义的操作。比如点某按钮1000次。发现自己帐户多出1000元。

但不修改服务端和客户端程序，也不修改封包。

算么？

那么你无中生有地为自己账号添钱不是进入了银行系统?

什么没有修改API,没有改服务器程序.关键的问题,是你是否如一个顾客一样活动.

自己都承认自己扮演伪装的营业员了,还说其它话干吗?

即便不是所谓营业员权限,不也是在造成服务器应用程序的溢出等异常后,再另外入侵.第一,那个BUG不是自动地给你帐户钱.第二,那个BUG和你帐户活动是相互配合的.第三,你一定要有事后"清理"现场的活动,否则很快就会被发现和抓住.

别管你用什么手段,不论是服务器程序还是下载到你客户端的程序,你必须控制服务器的动作才能让服务器给你钱.特别地,那个BUG变成实际的故障,是你的"精心编写的数据"激发的.....

这些跟那许某案件都是风马牛.许某案件若跟楼主你的例子能相比的话,只能是这样一种巧合,即你这个暴徒突破了服务器的权限,正企图弄一个帐户来"接钱"的时候,别人恰巧登陆进来,你搞出来的钱,流进了别人的帐户,而那家伙跟许某一样,反复地接你偷出来的钱......最后,破案时那家伙只是恶意透支.

从服务器系统那端来说，他接收的就是一串合法的指令序列，然后进行相应的操作而已。他是不会对如何产生这串合法指令序列感兴趣的。

所以，黑客们要做的就是要发现某个系统，在某些合法指令序列的某些特定组合下，服务器系统可能出现不应该有的操作结果，然后有意识的利用这些结果去做另外一些事情。

至于这些指令序列如何产生：是利用原有的客户端或者工具，还是自己写一套新的脚本或者软件，或者录制回放某些指令等等，其实关系不大。

当然，最后说一句：黑客其实是通俗名词，在法律上来说，这个词是没有明确的定义的。

那你要从银行取钱，不也是要进入银行的系统？你不进入银行的系统，银行怎么可以校验你的身份，怎么会让你转帐？怎么会给你钱？

软件通信行业，有一个专有含义的词，叫做“协议”。只要我的操作符合你银行方面定义的协议规范，那么我就是合法的，我就是“如一个顾客一样活动”。这点毫无疑义。所以我不需要伪装，当我获得营业员权限之后，我就是合法的营业员。

看我上一个帖子，软件或者计算机系统只关心客户端提交指令，以及这些指令的特定序列组合。

至于这些指令和组合如何产生，是对问题毫无影响的。

对用户来说。未被修改的网银客户端和未被破坏的ATM机一样。都是UI。用户不需要理解Server和Client之间的运行机制。只需要知道输入一个数额，然后点操作。对合法输入下产生的非法结果，用户是不需要负责的。