铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞

铁道部旗下在线购票网站12306自诞生起就一直为人所诟病，网站经常崩溃、UI粗糙、漏洞满框，但这都不是什么新闻了，近日网友爆出12306的技术框架及其表结构，大家可以来一览究竟。

下图是爆出的SQL语句，可以明显地看出其表结构，相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。






另外，从类名也可以看出，网站采用的是常见的SSH组合，根据这些漏洞可以很轻易地进行SQL注入，从而达到非法攻击或者盈利的目的。据了解，专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞，危害等级非常的高。乌云网介绍，该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示：“好几亿的项目，没敢跑库,跑坏了赔不起。”

还有一点要说的是本来这个网站访问量就很大，你丫的竟然为了得到一个或者两个字段的数据竟用select*？？这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配，你难道不知道他效率极其低下，一般的网站都很少少用这种匹配 ，你丫的竟然使用。无语了。。。

另外网友还给出了12306的完整异常栈，可以确定的是：

数据库： Oracle

应用服务器：WebLogic

开发框架：Spring\Hibernate\Struts

连接池：C3P0

其中还有多少代码问题，欢迎大家一起为12306“查虫”，但请不要进行任何违法攻击行为。

信息来自开源中国论坛

另附乌云网曝光的12306众多漏洞：

WooYun-2012-12758

WooYun-2012-12515

WooYun-2012-12517

WooYun-2012-12365

UPDATE：

微博网友提示，原来还有更多亮点：




从上边一些简单代码可以看出，此代码出自一个大一刚开始接触code的小朋友所为，丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。

来看看12306的完整异常栈吧,ssh,oracle



完整的SQL语句在这里哦！



推荐阅读：

铁道部3.3亿招标背后：12306后台技术遭业内质疑
http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml

------------------------------------------------------------------------------------------------------------
《Java程序员由笨鸟到菜鸟》电子版书正式发布，欢迎大家下载

/article/1407300.html