Heim  >  Artikel  >  Datenbank  >  12306暴SQL注入漏洞?!这下乐大发了

12306暴SQL注入漏洞?!这下乐大发了

WBOY
WBOYOriginal
2016-06-07 17:40:531433Durchsuche

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,服务器空间,玩笑了。

漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,香港虚拟主机,跑坏了赔不起……”

从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。

由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:


  • 想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。

    唉,铁科院好歹也挂着“研究院”的名号,虚拟主机,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。

     

    本文出自 “兔子窝” 博客,谢绝转载!

  • Stellungnahme:
    Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn