12306暴SQL注入漏洞？！這下樂大發了

剛才在oschina上看到了鐵道部12306網站被暴存在SQL注入漏洞的訊息，絕對的高危等級。看了看，真是無語了，這種錯誤太低級了，初級程式員都不該犯，難道12306真是幾個本科生的期末大作業？呵呵，玩笑了。

漏洞發現者也挺逗，說“分站有個注入，好幾億的項目，沒敢跑庫，跑壞了賠不起……”

從下面的中能看到，系統是基於JavaEE的，SSH架構，應用伺服器WebLogic，資料庫果然是Oracle，使用了C3P0做串連池。

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131229/19230025L-0.png" border="0" alt="" />

由於輸入了單引號，直接拼串導致最終的SQL變成了下面的樣子：

 

  
select * from TB_INFO_CLCS where flag = 'Y' and czdm = 'G' and ziz like '%6'%' order by cxdm 
 

想一想，出了這種結果，一是說明整個團隊人員技術的水平一般，至少是存在水平不過關的程式員；二是說明項目開發缺乏規劃與把關，應該是一個人承擔一個功能從介面一直做到資料訪問，並且沒有人對代碼做審核，這麼大的項目QA居然沒有跟上；三是說明項目肯定有趕工的情況存在。

唉，鐵科院好歹也掛著“研究院”的名號，不能水平這麼差吧？還是這項目真的是便宜外包出去的？真是不拿納稅人的錢當錢啊。

 

本文出自 “兔子窩” 部落格，謝絕轉載！