最近，看到2018年的一件案子火了，很有意思，跟大家一起分享一下。

主人公：徐大胆，1998 年出生,江苏某大学的在校生。

2018 年 4 月，在利用肯德基客户端点餐过程中，徐大胆无意间发现两个"生财门道"。

第一个是在 App 客户端用套餐兑换券下单，进入待支付状态后暂不支付，之后在微信客户端对兑换券进行退款操作，然后再将之前App客户端的订单取消，这时候发现，之前App客户端用的那张套餐兑换券又返还回来了，利用此种方式分文未付得了退款，还骗取了一份兑换券。

第二个是先在 App 客户端用套餐兑换券下单待支付，在微信客户端退掉兑换券，在去 APP 客户端支付，这时便可以支付成功并获得取餐码，此种方式等于分文未付骗取了一份套餐。

相信很多人都清楚了，这不就是逻辑支付漏洞吗？

这个漏洞，龙哥是在熟悉不过了。

什么，一分钱在北斗商城买iPhone手机，一毛钱在红酒世界官网买红酒。

龙哥在监狱打扣眼的时候，抽空给我讲过，出现这种逻辑支付漏洞，大概就两种情况：

1. 前端验证

2. 数据未同步

从14年到现在，国内有一大批技术不强，但是胜在人数众多的羊毛党，除了传统的薅羊毛操作，很多人也盯上了逻辑支付漏洞。

他们只会用一个工具：Fiddler(小提琴)

他们每天的任务和工作，就是在各种拥有在线支付和下单的商城或者平台利用Fiddler抓包改包测试充值和低额支付漏洞，组成线报群，只要有一个人发现一个商城或者平台有此类漏洞，一群人蜂拥而至，趁火打劫。

那么，本案当中的主人公徐大胆，无意之中发现这个漏洞以后，他肯定很高兴，在这里，我们可以把他当成无意发现的，也可以当成有意发现的，或者干脆点，他有可能就接触过类似的薅羊毛线报群。

反正他肯定很幸福是肯定的，利用这个漏洞，每天汉堡、鸡腿、可乐反正肯定不要钱的随便吃喝了，就冲这一点，有免费食堂，他也得幸福。

徐大胆天天喝可乐、吃鸡翅膀，好家伙，什么家庭，关键还一分钱不花，日子久了难免有些膨胀，自然，也打起了歪脑筋。

首先，他将诈骗得来的套餐产品通过线上交易软件低价出售给他人，不仅自己白嫖，还利用白嫖的能力低价给别人嫖，肯德基就这样被糟蹋了。

当然，徐大胆还与同学有"福"同享，将犯罪方法当面或通过网络传授给丁某等 4 名同学。截至同年 10 月案发，徐大胆的行为造成百胜公司损失 5.8 万余元，丁某等四人造成百胜公司损失 0.89 万元至 4.7 万元不等。

看看金额都知道，鸡翅膀肯定没少吃。

那么这么就构成了，非法占用、传授犯罪方法了，一直到2019年4月警方接到被害单位报案，在前往学校进行调查的时候，几人眼看事情败露，进行了投案自首。

肯定也有很多人觉得，警方来了才投案这也算自首？当然算，在事情没有查明之前，主动投案自首交代的，是可以按自首算的，何况都是学生，警方也没有必要过度的为难他们。

接着，上海市徐汇区检察院于2019年10月向徐汇区人民法院提起公诉，包括徐大胆在内的五名在校学生被公诉，好家伙，肯德基的鸡腿那么好白嫖吗？

本案有几个主流的分歧问题：

1.徐大胆的行为属不属于薅羊毛？

2.徐大胆行为是不是盗窃？

3.为什么说徐大胆是诈骗？

在回答这三个问题之前，我们得说下案件最后，徐大胆最后认定的罪行。

根据被告人犯罪的事实、性质、情节和对于社会的危害程度，徐汇法院依法认定徐某犯诈骗罪，判处有期徒刑二年，并处罚金人民币六千元；犯传授犯罪方法罪，判处有期徒刑十个月，决定执行有期徒刑二年六个月，并处罚金人民币六千元。丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪，分别被判处有期徒刑两年至一年三个月，并处罚金人民币四千元至一千元不等的刑罚。

所以就回到了上面的三个问题.

第一.为什么不是薅羊毛的行为？

类似的行为可以理解为，通过购买大量的虚拟手机号码。去美团薅首单优惠，或者优惠券等，肯定是为了获利，但是这种薅羊毛是利用了平台本身的规则来进行的，再说这徐大胆，你说你自己用也就算了，你还利用该系统漏洞通过网络平台售卖优惠券，售卖优惠券就算了，你还教了四个小徒弟来薅，这不就完犊子了？

第二.为什么不是盗窃罪？

关于这个问题，很多人都认为是盗窃，理由是人和机器不一样，机器不能自己发现错误，就像现在的拖拉机坏了，拖拉机自己没有意识知道自己到底哪儿坏了，肯德基客户端和微信客户端的数据不同步造成的这样的漏洞，是整件事情的起因，但是在发现这个漏洞之后，还多次利用漏洞买汉堡鸡翅膀，这个行为就很故意的构成非法占用了，但是为什么不是盗窃而是诈骗罪，我们下个问题解释。

第三.为什么定诈骗罪？

其实就是采用了某同性质案件的专家论证结果，即是「受骗的是平台管理人、使用人」的观点。

对啊，代码是我肯德基的，服务器是我肯德基的，客户端也是我肯德基的，我说让你付款下单，结果你不按套路走，取消下单还利用我两边数据不同步去支付，你骗的是机器吗？你骗的是我肯德基管理员啊，最后也是因为是管理员，才发现了里面的问题报了案。

你有张良计，我有过墙梯，所以各位读者不能以：如果不是你有漏洞，我会利去用吗？如果你网站没有漏洞我就不会去利用这种说法来为自己做托词，也不能以：我是靠自己技术吃上肯德基的，你们凭什么抓我这种诡辩来为自己开脱。

龙哥：我凭自己技术入侵的网站？你们抓我干什么？

当然，我们也可以以网络安全的角度来看，或许徐大胆的罪行可以归纳到非法获取计算机系统信息数据罪当中。

当然，我也只是说说，如果说的不对，各位可以留言说明。

1.徐大胆利用了肯德基双边数据不同步的漏洞，完成了这样的逻辑支付漏洞利用。

2.优惠券和退款都是web服务中传输的数据信息产物，多次退款、支付获取优惠券，也可以说他是获取了数据的，何况这些数据本身就是储存在web服务上的。

3.从头到尾，我们都可以大胆的猜测下，要么是徐大胆在手机上操作，无意当中从肯德基的APP操作到微信客户端，发现了这个漏洞，要么，就是文章前面说的，徐大胆曾经加入过一些羊群，了解到了FD抓包改包测试逻辑支付漏洞的一些操作，后来发现的这个漏洞。

当然，这只是猜测，人嘛，在阐述一件事情的时候，都是站在自己的立场来讲，就算是FD发现的，他也不会说自己是挖漏洞挖的，就说是无意中发现的，来规避一些风险，这些都是情有可原的，好了，咱们下一篇文章在见。

最后，网络抓包有风险，一停一顿需谨慎。

全球最高勒索赎金2.5亿，美国CNA已支付

为什么要抓我？我是在为家乡网络安全做贡献

来！千人白帽养成计划第四期，来了！

多一个点在看

多一条小鱼干