鐵道部12306後台技術架構、完整異常棧資訊以及技術缺點和漏洞

             鐵道部旗下線上購票網站12306自誕生起就一直為人所詬病，網站經常崩潰、UI粗糙、漏洞滿框，但這都不是什麼新聞了，近日網友爆出12306的技術架構及其表結構，大家可以來一覽究竟。

是爆出的SQL語句，可以明顯地看出其表結構，相信各位技術人員能夠輕易地辨別出網站開發人員的功底如何了吧。

                          

            

          另外，從類名也可以看出，網站採用的是常見的SSH組合，根據這些漏洞可以很輕易地進行SQL注入，從而達到非法攻擊或者盈利的目的。據瞭解，專業技術人士發現12306.cn網站有非常明顯的SQL注射漏洞，危害等級非常的高。烏雲網介紹，該漏洞系XSS、絕對路徑泄漏、SQL注入。提交漏洞的技術人員幽默的表示：“好幾億的項目，沒敢跑庫,跑壞了賠不起。” 

          還有一點要說的是本來這個網站訪問量就很大，你丫的竟然為了得到一個或者兩個欄位的資料竟用select*？？這個你讓我這初學者經常犯的錯誤都不好意思犯了。類似“like、%”等模糊比對，你難道不知道他效率極其低下，一般的網站都很少少用這種匹配 ，你丫的竟然使用。無語了。。。

另外網友還給出了12306的完整異常棧，可以確定的是：

 資料庫： Oracle

 應用伺服器：WebLogic

 開發架構：Spring\Hibernate\Struts

 串連池：C3P0

其中還有多少代碼問題，歡迎大家一起為12306“查蟲”，但請不要進行任何違法攻擊行為。

資訊來自開源中國論壇

另附烏雲網曝光的12306眾多漏洞：

WooYun-2012-12758

WooYun-2012-12515

WooYun-2012-12517

WooYun-2012-12365

UPDATE：

微博網友提示，原來還有更多亮點：

                         

從上邊一些簡單代碼可以看出，此代碼出自一個大一剛開始接觸code的小朋友所為，丫的css和js還有圖片放到一個檔案夾裡。這是一個3億多的項目哩。。。。

來看看12306的完整異常棧吧,ssh,oracle

完整的SQL語句在這裡哦！

推薦閱讀：

鐵道部3.3億招標背後：12306後台技術遭業內質疑

http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml

------------------------------------------------------------------------------------------------------------

《Java程式員由笨鳥到菜鳥》電子版書正式發布，歡迎大家下載

http://blog.csdn.net/csh624366188/article/details/7999247