12306暴SQL注入漏洞？！这下乐大发了

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息，绝对的高危等级。看了看截图，真是无语了，这种错误太低级了，初级程序员都不该犯，难道12306

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息，绝对的高危等级。看了看截图，真是无语了，这种错误太低级了，初级程序员都不该犯，难道12306真是几个本科生的期末大作业？呵呵，服务器空间，玩笑了。

漏洞发现者也挺逗，说“分站有个注入，好几亿的项目，没敢跑库，香港虚拟主机，跑坏了赔不起……”

从下面的截图中能看到，系统是基于JavaEE的，SSH框架，应用服务器WebLogic，数据库果然是Oracle，使用了C3P0做连接池。

由于输入了单引号，直接拼串导致最终的SQL变成了下面的样子：

想一想，出了这种结果，一是说明整个团队人员技术的水平一般，至少是存在水平不过关的程序员；二是说明项目开发缺乏规划与把关，应该是一个人承担一个功能从界面一直做到数据访问，并且没有人对代码做审核，这么大的项目QA居然没有跟上；三是说明项目肯定有赶工的情况存在。

唉，铁科院好歹也挂着“研究院”的名号，虚拟主机，不能水平这么差吧？还是这项目真的是便宜外包出去的？真是不拿纳税人的钱当钱啊。

 

本文出自 “兔子窝” 博客，谢绝转载！