首页  >  文章  >  数据库  >  12306暴SQL注入漏洞?!这下乐大发了

12306暴SQL注入漏洞?!这下乐大发了

WBOY
WBOY原创
2016-06-07 17:40:531433浏览

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,服务器空间,玩笑了。

漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,香港虚拟主机,跑坏了赔不起……”

从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。

由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:


  • 想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。

    唉,铁科院好歹也挂着“研究院”的名号,虚拟主机,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。

     

    本文出自 “兔子窝” 博客,谢绝转载!

  • 声明:
    本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn