铁道部12306后台技术框架 完整异常栈信息以及技术缺点和漏洞
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow
也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!
铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。
下图是爆出的SQL语句,可以明显地看出其表结构,相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。
另外,从类名也可以看出,网站采用的是常见的SSH组合,根据这些漏洞可以很轻易地进行SQL注入,从而达到非法攻击或者盈利的目的。据了解,专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞,危害等级非常的高。乌云网介绍,该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示:“好几亿的项目,没敢跑库,跑坏了赔不起。”
还有一点要说的是本来这个网站访问量就很大,你丫的竟然为了得到一个或者两个字段的数据竟用select*??这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配,你难道不知道他效率极其低下,一般的网站都很少少用这种匹配 ,你丫的竟然使用。无语了。。。
另外网友还给出了12306的完整异常栈,可以确定的是:
数据库: Oracle
应用服务器:WebLogic
开发框架:Spring\Hibernate\Struts
连接池:C3P0
其中还有多少代码问题,欢迎大家一起为12306“查虫”,但请不要进行任何违法攻击行为。
信息来自开源中国论坛
另附乌云网曝光的12306众多漏洞:
WooYun-2012-12758
WooYun-2012-12515
WooYun-2012-12517
WooYun-2012-12365
UPDATE:
微博网友提示,原来还有更多亮点:
从上边一些简单代码可以看出,此代码出自一个大一刚开始接触code的小朋友所为,丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。
来看看12306的完整异常栈吧,ssh,oracle
完整的SQL语句在这里哦!
推荐阅读:
铁道部3.3亿招标背后:12306后台技术遭业内质疑
http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml
------------------------------------------------------------------------------------------------------------
《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载
http://blog.csdn.net/csh624366188/article/details/7999247
给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow
铁道部12306后台技术框架 完整异常栈信息以及技术缺点和漏洞相关推荐
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃.UI粗糙.漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟. 下图是爆出的SQL语 ...
- 计算机七年级知识点,七年级信息的技术演示课件——计算机与信息的技术基本知识点.ppt...
七年级信息的技术演示课件--计算机与信息的技术基本知识点 信息技术课件 1.1 计算机概述 1.3.4 计算机硬件系统 1.2.1 数字化信息编码的概念 1.2.2 进位计数制 ①八进制:0.2.3. ...
- python traceback_Python 捕捉traceback异常栈信息
相关函数简介 sys.exc_info() 返回包含3个元素(type, value, traceback)的元组,提供关于当前正被处理的异常信息.如果异常没有被处理,返回包含3个None值的元组. ...
- 耗时1年的前端技术框架切换之旅
本文分享自华为云社区<记一次难忘的前端技术框架切换之旅[WEB前端大作战]>,原文作者:一颗白菜 . 一.旅行之始 2020年初,某个普通的工作日,正在聚精会神"搞事情" ...
- 产品经理必了解的3个app技术框架
在现在越来越多的app,你可以看到有一些app中是混着网页加载的(我们俗称的为H5)但要注意的web 前端开发是包含着h5的.web前端开发还包括了许多内容,比如说后台html,css,div等都是属 ...
- Java中的异常栈轨迹和异常链
Java中允许对异常进行再次抛出,以提交给上一层进行处理,最为明显的例子为Java的常规异常. 常规异常:有Java所定义的异常,不需要异常声明,在未被try-catch的情况下,会被默认上报到mai ...
- log日志中不打印异常栈的具体信息
问题与分析 最近在查项目的log时发现报了大量的NPE(NullPointerException),诡异的是只log了Exception的类名,却没有具体的堆栈信息,以致于无法对该NPE异常进行准确定 ...
- Android HAL层/native C程序打印栈信息方法
在调试Android系统底层函数时,经常需要跟踪函数调用流程,特别在HAL层需要确定参数来源时.使用栈信息逆向跟踪可快速分析函数调用流程,结合使用addr2line工具.绘图工具可绘制函数关系图.本文 ...
- 应对不良网络文化的技术之一——网络信息抽取技术
1 引言 2008年1月17日,中国互联网络信息中心(CNNIC)发布了<第21次中国互联网络发展状况统计报告>[1],报告显示: (1) 截至2007年12月,网民数已增至2.1 ...
最新文章
- python【蓝桥杯vip练习题库】ADV-313字符串顺序比较
- # 华硕笔记本电脑如何配置win10系统U盘 # 以及安装或重装win10系统#
- 博客目录(随时删除)
- Smobiler 4.4 更新预告 Part 1(Smobiler能让你在Visual Studio上开发APP)
- linux安装ssh放在,Linux安装SSH
- 上传文件到某文件夹时,提示...路径访问被拒绝
- Widget Factory
- IntelliJ IDEA使用技巧(一)——常用快捷键
- ES6 filter 过滤数组 | 图片onload同步等待获取图片宽高
- Keras系列之文本向量化
- FTP 21端口和20端口有什么区别?
- SPSS实现系统聚类
- golang mysql 崩溃_使用GoLang与mysql连接失败
- github这个项目,几行代码生成海报及二维码
- ios设备苹果手机 js时间字符串转时间戳后显示错误NAN
- groupadd: cannot open /etc/group
- android native层进程通信
- 概率论与数理统计 第一周作业
- 徐松亮算法教学-基于C语言的数独(九宫格)求解(含多解和解数统计)
- 三级运算在计算机,计算机等级三级(A)笔试试卷及答案
热门文章
- 系统学习Python——2D绘图库Matplotlib:绘图函数matplotlib.pyplot.plot(plt.plot)
- 2022春招前端最新面试题分享(途牛旅游网)
- Mr Somurolov, fabulous chess-gamer indeed, asserts that no one else but him can move knights from on
- (转)央视:地产三剑客论房价上涨真相及住房投资
- 想和太阳肩并肩?扒一扒那些上天入海的阿里小二
- 关联分析——频繁项集的产生之Apriori算法
- 简单撸了个 GitHub trending 爬取 API
- javascript中的循环和遍历
- java语言实现strtod方法,strtod_字符串 | Strings_C_参考手册_非常教程
- 球球大作战 2016年最火游戏前十 开发的新思路 和玩家体验