刚才在oschina上看到了铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,玩笑了。

漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起……”

从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。

由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:

  1. select * from TB_INFO_CLCS where flag = 'Y' and czdm = 'G' and ziz like '%6'%' order by cxdm

想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。

唉,铁科院好歹也挂着“研究院”的名号,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。

转载于:https://blog.51cto.com/boytnt/1008946

12306暴SQL注入漏洞?!这下乐大发了相关推荐

  1. java 框架注入漏洞修复_Mybatis框架下易产生SQL注入漏洞的场景和修复方法

    一.Mybatis框架下易产生SQL注入漏洞的场景 在基于Mybatis框架的Java白盒代码审计工作中,通常将着手点定位在Mybatis的配置文件中.通过查看这些与数据库交互的配置文件来确定SQL语 ...

  2. 使用sqlmap检测sql注入漏洞

    一. sql注入概述并安装sqlmap漏洞查看工具 1. sql注入概述 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命 ...

  3. Sqlmap查找SQL注入漏洞入门

    Sqlmap查找SQL注入漏洞入门 1.安装sqlmap sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞.注意:sqlmap只是用来检测和利用sql注入点的,使 ...

  4. sql注入漏洞检测攻略

    sql注入漏洞检测攻略 一.注入分类 1.可回显注入 2.不可回显注入 3.二次注入 二.如何判断 1.基于报错的检验 2.通过布尔的检验 3.通过连接符+ 三.绕过 1.过滤关键字 2.过滤空格 3 ...

  5. WEB安全的总结学习与心得(十)——SQL注入漏洞

    WEB安全的总结学习与心得(十) 01 SQL注入漏洞之简介 02 SQL注入的过程 03 SQL注入的本质 04 SQL注入靶场 1.显错注入(Get注入) 显错注入小结 2.POST注入 POST ...

  6. 易想团购 注入 user.php,易想团购系统通杀SQL注入漏洞分析及利用漏洞预警 -电脑资料...

    刚打开红黑看到J8基友写的一个{易想团购系统 最新版 通杀}的文章,看他贴的代码里面有个get_client_ip()函数,哈哈,我猜没过滤,果断下了一套程序, 找到get_client_ip()函数 ...

  7. SQL注入漏洞的检测与防范技术

    提 要   本文从SQL注入的基本概念和注入原理入手,分析总结了SQL注入漏洞的检测及其防范技术措施. 关键词  SQL注入漏洞 检测 防范技术 引 言    近几年来随着计算机网络和WEB技术的飞速 ...

  8. Backtrack5 SQL注入漏洞探测

    SQLMAP,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL. SQLMAP ...

  9. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  10. wordpress漏洞_多个WordPress插件SQL注入漏洞分析

    背景 SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞.比如: 图1: 使用WordPress的SQL查询示例 从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的 ...

最新文章

  1. 网络工程师,不需要学Linux?
  2. Jsp页面中使用fckeditor控件的两种方法
  3. python的基本语句_Python的基本语句
  4. 有进步--第二周作业
  5. 7_12_2013 G: Mahjong problem
  6. 命名管道实现进程的信息传递【mkfifo函数、open函数】
  7. 全奖博士招生,美国中佛罗里达大学计算机视觉研究中心
  8. quadprog函数的介绍和应用,二次规划函数
  9. 谷歌发布轻量级视觉架构MobileNetV2,速度快准确率高
  10. jquery 自定义插件!
  11. Futter基础第2篇: 实现文本、容器【Text、Container】
  12. ValueError: This model has not yet been built. Build the model first by calling `build()` or calling
  13. WordPress插件:WP-China-Yes解决国内访问官网慢的方法
  14. UDP协议和TCP协议
  15. bootstrap 检验 法 原理_三种中介效应检验方法及操作步骤 - spssau
  16. 计算机突然找不到u盘了,win10系统u盘文件突然不见了怎么恢复
  17. PXE + KS 实现系统自动部署系统
  18. Readiris Pro 17 for Mac(光学识别OCR软件)
  19. 射频原理图设计checklist
  20. 【总结整理】面试pm常见的问题---摘自《人人都是产品经理》

热门文章

  1. 瑞尔森大学计算机网络专业怎么样,瑞尔森大学怎么样?
  2. 1~20以内的加减法
  3. 【学习笔记 31】 buu [0CTF 2016]piapiapia
  4. html5 画猫全过程svg入门
  5. 日期比较(substring split prase)
  6. css基础-属性值计算过程
  7. MTK 6737 Flash配置
  8. 图像分割-专有名词讲解
  9. 计算机毕业设计Java共享充电宝管理系统(源码+系统+mysql数据库+Lw文档)
  10. 不规则图形面积的计算