铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
2012-09-28 16:46
387 查看
铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。
下图是爆出的SQL语句,可以明显地看出其表结构,相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。
另外,从类名也可以看出,网站采用的是常见的SSH组合,根据这些漏洞可以很轻易地进行SQL注入,从而达到非法攻击或者盈利的目的。据了解,专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞,危害等级非常的高。乌云网介绍,该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示:“好几亿的项目,没敢跑库,跑坏了赔不起。”
还有一点要说的是本来这个网站访问量就很大,你丫的竟然为了得到一个或者两个字段的数据竟用select*??这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配,你难道不知道他效率极其低下,一般的网站都很少少用这种匹配 ,你丫的竟然使用。无语了。。。
另外网友还给出了12306的完整异常栈,可以确定的是:
数据库: Oracle
应用服务器:WebLogic
开发框架:Spring\Hibernate\Struts
连接池:C3P0
其中还有多少代码问题,欢迎大家一起为12306“查虫”,但请不要进行任何违法攻击行为。
信息来自开源中国论坛
另附乌云网曝光的12306众多漏洞:
WooYun-2012-12758
WooYun-2012-12515
WooYun-2012-12517
WooYun-2012-12365
UPDATE:
微博网友提示,原来还有更多亮点:
从上边一些简单代码可以看出,此代码出自一个大一刚开始接触code的小朋友所为,丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。
来看看12306的完整异常栈吧,ssh,oracle
完整的SQL语句在这里哦!
推荐阅读:
铁道部3.3亿招标背后:12306后台技术遭业内质疑 http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml
------------------------------------------------------------------------------------------------------------ 《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载
/article/1407300.html
本文出自 “曹胜欢” 博客,请务必保留此出处http://javacsh.blog.51cto.com/3545281/1129132
下图是爆出的SQL语句,可以明显地看出其表结构,相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。
另外,从类名也可以看出,网站采用的是常见的SSH组合,根据这些漏洞可以很轻易地进行SQL注入,从而达到非法攻击或者盈利的目的。据了解,专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞,危害等级非常的高。乌云网介绍,该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示:“好几亿的项目,没敢跑库,跑坏了赔不起。”
还有一点要说的是本来这个网站访问量就很大,你丫的竟然为了得到一个或者两个字段的数据竟用select*??这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配,你难道不知道他效率极其低下,一般的网站都很少少用这种匹配 ,你丫的竟然使用。无语了。。。
另外网友还给出了12306的完整异常栈,可以确定的是:
数据库: Oracle
应用服务器:WebLogic
开发框架:Spring\Hibernate\Struts
连接池:C3P0
其中还有多少代码问题,欢迎大家一起为12306“查虫”,但请不要进行任何违法攻击行为。
信息来自开源中国论坛
另附乌云网曝光的12306众多漏洞:
WooYun-2012-12758
WooYun-2012-12515
WooYun-2012-12517
WooYun-2012-12365
UPDATE:
微博网友提示,原来还有更多亮点:
从上边一些简单代码可以看出,此代码出自一个大一刚开始接触code的小朋友所为,丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。
来看看12306的完整异常栈吧,ssh,oracle
完整的SQL语句在这里哦!
推荐阅读:
铁道部3.3亿招标背后:12306后台技术遭业内质疑 http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml
------------------------------------------------------------------------------------------------------------ 《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载
/article/1407300.html
本文出自 “曹胜欢” 博客,请务必保留此出处http://javacsh.blog.51cto.com/3545281/1129132
相关文章推荐
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞 .
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
- 铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
- Struts2输入校验以及错误信息处理(2)——用Struts2定义好的校验框架进行校验
- WCF技术剖析之二十二: 深入剖析WCF底层异常处理框架实现原理[上篇]
- [原创] WCF技术剖析之二十二: 深入剖析WCF底层异常处理框架实现原理[中篇]
- 异常以及异常处理框架探析
- 基于java后台,angular1为框架的admin管理系统完整项目体验报告
- 使用Spring Cloud微服务框架进行多个微服务整合时出现No converter found for return value of type:xxx异常信息
- 一套较完整的技术框架
- 20145329 《网络对抗技术》信息搜集与漏洞扫描
- 第八节:详细讲解Java中的异常处理情况与I/O流的介绍以及类集合框架
- 20145222黄亚奇《网络对抗》信息收集和漏洞扫描技术
- js运动技术--多物体运动框架(变宽、变高、改变字体、改变border、透明度)以及替换offset的使用
- SSH三大框架经常发生的异常以及解决方案
- Android 后台发送邮件 (收集应用异常信息+Demo代码)
- Android 后台发送邮件 (收集应用异常信息+Demo代码)
- python中利用tracekback跟踪栈以及打印异常信息