前两天一个博彩投注网站的站长，说是要找网站的漏洞，看不到源代码，只能通过前台测试。由于之前找过团购网站
的漏洞（请看这里），因此便谈好一个漏洞500。可惜天下老板一般黑啊，就是不给，现在也隐身了。之前找出漏
洞的团购网站（VC团）也一样，说好给报酬的也没下文了，就这点器量这点诚信，网站还能做大？手底下人能留的住？那
VC团当时和我联系的开发人员，没几个月也离职了，可见一斑哪。

　　博彩投注网站一般不能随意注册，得找一个代理给你注册，当时那个站长给了一个测试账号。

　　以下是投注的页面

　　

　　我们用IE8开发人员工具就能发现很多个hidden标签，连注释都有！该网站将需要的金额数通过javascript计算出来后放在hidden标签中，
提交给后台，但是后台却没有验证金额。这里我们将金额数修改为0.01，然后提交，投注成功！经测试，中奖后奖金确实会加到账户中！(这里
如果修改期号，还能购买前面已经开过奖的期号，但是系统不会判断你中奖)

　　

　　我们再进入已购买的订单的详情页面。

　　这里有个撤单按钮，先看看form表单的内容吧。

　　还有个BUG是关于代理充值的。每个代理可以给下线充值，将自己账户上的钱转给下线。该页面地址形如addmoney.aspx?id=15234。
将那个id换成别的id，就可以替别的代理为他的下线充值了！该网站的开发人员应该是意识到了一点安全性，整个网站是用iframe
框架页做的，禁掉了鼠标右键、选择文字等功能，主框架里的页面如果直接打开就跳转到其他页面，等等一系列处理。可惜
手握IE8开发人员工具足矣，直接修改iframe的src属性，便可以了！

　　说了那么多，还是那句话，客户端的东西靠不住！另外附上一句：遇到没诚信的老板的程序员，你们伤不起啊！！