12306暴SQL注入漏洞?!这下乐大发了

WBOY
發布: 2016-06-07 17:40:53
原創
1438 人瀏覽過

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306

刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,服务器空间,玩笑了。

漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,香港虚拟主机,跑坏了赔不起……”

从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。

由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:


  • 想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。

    唉,铁科院好歹也挂着“研究院”的名号,虚拟主机,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。

     

    本文出自 “兔子窝” 博客,谢绝转载!

  • 相關標籤:
    來源:php.cn
    本網站聲明
    本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
    熱門教學
    更多>
    最新下載
    更多>
    網站特效
    網站源碼
    網站素材
    前端模板