铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,玩笑了。漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起……”从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:select * from TB_INFO_CLCS where flag = "Y" and czdm = "G" and ziz like "%6"%" order by cxdm 想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。唉,铁科院好歹也挂着“研究院”的名号,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。12306.cn的SQL注入漏洞实测Banana Dance search.php SQL注入漏洞相关资讯 SQL注入漏洞 12306
12306用户数据泄露超10万条 或由撞 (12/28/2014 09:00:13)
已经 14 岁的 SQL 注入仍然是最危 (08/29/2013 13:12:18)
TYPO3 WEC 讨论区SQL注入漏洞 (02/22/2013 08:55:37)
12306网站用户信息泄露 (12/25/2014 16:59:49)
TYPO3 My quiz and poll Extension (02/22/2013 08:56:41)
易网时代-编程资源站