>  기사  >  데이터 베이스  >  12306暴SQL注入漏洞?!这下乐大发了

12306暴SQL注入漏洞?!这下乐大发了

WBOY
WBOY원래의
2016-06-07 17:40:531432검색

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,服务器空间,玩笑了。

漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,香港虚拟主机,跑坏了赔不起……”

从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。

由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:


  • 想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。

    唉,铁科院好歹也挂着“研究院”的名号,虚拟主机,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。

     

    本文出自 “兔子窝” 博客,谢绝转载!

  • 성명:
    본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.