铁道部12306网站被暴存在SQL注入漏洞的消息,绝对的高危等级。看了看截图,真是无语了,这种错误太低级了,初级程序员都不该犯,难道12306真是几个本科生的期末大作业?呵呵,玩笑了。
漏洞发现者也挺逗,说“分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起……”
从下面的截图中能看到,系统是基于JavaEE的,SSH框架,应用服务器WebLogic,数据库果然是Oracle,使用了C3P0做连接池。
由于输入了单引号,直接拼串导致最终的SQL变成了下面的样子:
select * from TB_INFO_CLCS where flag = 'Y' and czdm = 'G' and ziz like '%6'%' order by cxdm
想一想,出了这种结果,一是说明整个团队人员技术的水平一般,至少是存在水平不过关的程序员;二是说明项目开发缺乏规划与把关,应该是一个人承担一个功能从界面一直做到数据访问,并且没有人对代码做审核,这么大的项目QA居然没有跟上;三是说明项目肯定有赶工的情况存在。
唉,铁科院好歹也挂着“研究院”的名号,不能水平这么差吧?还是这项目真的是便宜外包出去的?真是不拿纳税人的钱当钱啊。