现在的位置: 首页 > 综合 > 正文

12306你做的这是什么系统呀!

2019年05月01日 ⁄ 综合 ⁄ 共 5072字 ⁄ 字号 评论关闭 
12306你做的这是什么系统呀!




 无意中发现12306的问题,上亿的系统还有这样的细节问题,
想不到12306还有这个的问题
前台没有采用基本脚本的验证,后台也没有验证,
可以进行sql注入,拼接sql里面用 Select * from
而且没有屏蔽404,
框架采用的是spring+hibernate还有大量的其他的框架,
  alert("当前访问用户过多,请稍后重试!"); 
这样的用户交互,
这样低级的错误让程序员情何以堪呀!
避免出现较大的影响 请大家不要注入SQL
也希望12306早点修复这个问题!
这个bug拿到整个数据库的表结构设计和数据,不存在任何问题,为了避免非法用途希望早点修复
21
0
(请您对文章做出评价)
« 博主前一篇:ERP产品框架设计之路(二)
posted @ 2012-09-27 15:31 贤达 阅读(9576)
评论(92编辑 收藏

12
  

#43楼 2012-09-27
20:50 csqlwy  

强势围观
支持(0)反对(0)
  

#44楼 2012-09-27
20:52 叶鹏  

能说脏话吗?不能说就算了,不能说也要说,老子们就生活在这么个国家,卑鄙无耻下流,cnmdtdb,mlgb的
支持(0)反对(0)
  

#45楼 2012-09-27
20:57 dataexcel  

12306的腐败问题很重啊。咋到现在还没有人查啊
支持(0)反对(0)
  

#46楼 2012-09-27
21:13 ruijiang21  

据我目测啊,我估计啊,这网站上线之前,1人测试,估计也就是高校没毕业的学生测得,再据我目测啊,这网站就一个人维护,而且丫还老上cnblog.一看不对劲,马上后台一改完事。
支持(3)反对(0)
  

#47楼 2012-09-27
21:21 EDM数据  

这个漏洞太不应该了吧!!
支持(0)反对(0)
  

#48楼 2012-09-27
21:22 小龙3  

肯定是无证程序员写的!!!!!!!
支持(0)反对(0)
  

#49楼 2012-09-27
21:26 为乐而来  

典型的菜鸟写的代码啊。
支持(0)反对(0)
  

#50楼 2012-09-27
21:38 zsuxiong  

铁老大内部层层剥削,最后剩下骨头,只能留给无证的苦逼的程序员去啃了。
支持(4)反对(0)
  

#51楼 2012-09-27
21:44 夏天爱上雨  

哈哈~~
支持(0)反对(0)
  

#52楼 2012-09-27
22:00 月漩涡  

@银光小子

3个多E好不好。
支持(0)反对(0)
  

#53楼[楼主2012-09-27
22:03 贤达  

@ruijiang21

如果他能上博客园是件好事!
支持(0)反对(0)
  

#54楼 2012-09-27
22:27 lethe555  

谁敢黑一下么?
支持(0)反对(1)
  

#55楼 2012-09-27
22:32 灯火阑珊²ºº7  

坑爹的铁道部,能不能争气点啊。
支持(0)反对(0)
  

#56楼 2012-09-27
22:46 码不停蹄  

要是外包给我,我拿一个亿请世界上最好的团队来做一个网站肯定能满足需求,净赚两个亿
支持(0)反对(0)
  

#57楼 2012-09-27
22:56 会长  

已经修改了
支持(0)反对(0)
  

#58楼 2012-09-27
23:37 云中尚飞  

刚提示,正在修复中……(21:00~7:00)
支持(0)反对(0)
  

#59楼 2012-09-27
23:38 卓酷  

@码不停蹄

引用

要是外包给我,我拿一个亿请世界上最好的团队来做一个网站肯定能满足需求,净赚两个亿



你净赚的那2个亿要都拿出来层层发回扣才能让你拿到这个项目的。

支持(3)反对(0)
  

#60楼 2012-09-28
08:21 Casper
Jong  

你说你不能支持大量并发就算了,大家也就嘴上骂骂,你TM这样的低级错误,简直就是犯罪啊,要是由于个人信息的泄露造成的损失,铁道部你TM的难辞其咎(虽然是幻想),大家不要骂程序员,主要责任在于12306系统的负责人,不会也是从体育界半路出家的吧!!!


一个关乎国计民生的项目,一个以巨资打造的项目,TM就做成这样,这TM是中国IT行业的耻辱!!!


干,激动了!!!
支持(1)反对(0)
  

#61楼 2012-09-28
08:27 nickel  

无论从哪个角度去看,12306都不像个产品,倒像个毕业设计,看设计,哪家IT公司会让美工去做出这么山寨的效果出来,前段框架,简直就是垃圾一个,不敢相信这样的作品也敢上线露脸。那些大神们都不屑于对此做任何的评论的说
支持(0)反对(0)
  

#62楼 2012-09-28
08:39 GavinDream  

天朝的悲哀!!ZG还能生存多久?
支持(0)反对(0)
  

#63楼 2012-09-28
08:44 小小搬运工  

czdm cxdm ziz zaz 是什么意思?真猜不出来啊……
支持(0)反对(0)
  

#64楼 2012-09-28
08:57 深邃的狮子座  

@tebato

引用

http://hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=--%3E%27%22%3E%3CH1%20style=%22color:red;font-size:100px;%22%3E%E9%A9%AC%E5%8B%92%E9%9A%94%E5%A3%81%E7%9A%84%E8%B4%AA%E5%AE%98%3C%2FH1%3E



Error 403--Forbidden

From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:

10.4.4 403 Forbidden


The server understood the request, but is refusing to fulfill it. Authorization will not help and the request SHOULD NOT be repeated. If the request method was not HEAD and the server wishes to make public why the request has not been fulfilled, it SHOULD describe
the reason for the refusal in the entity. This status code is commonly used when the server does not wish to reveal exactly why the request has been refused, or when no other response is applicable.

支持(0)反对(0)
  

#65楼 2012-09-28
09:05 峰再起时  

@小小搬运工

引用

czdm cxdm ziz zaz 是什么意思?真猜不出来啊……



czdm=车子代码 cxdm=车型代码 ziz=自重,zaz=载重,clcs=车辆参数,我以前学数据库的时候经常这样干的。

支持(2)反对(0)
  

#66楼 2012-09-28
09:07 gxh973121  

刚毕业新手或实习生做的,100%确定,12306让人无语了,可以贪一部分,可是贪到只用招实习生的钱来做系统,无语了
支持(0)反对(0)
  

#67楼 2012-09-28
09:08 ouyangli  

身份证都知道了,故意留个漏洞勾引你。。。。。屌丝程序员们,快去注入吧。。。哈哈哈哈。。
支持(0)反对(0)
  

#68楼 2012-09-28
09:12 Never
too late  

哈哈,据说不止这个漏洞啊。

估计也没人敢黑它。。(不然小心查水表)
支持(0)反对(0)
  

#69楼 2012-09-28
09:27 T_T庄帅去做偷神火的人  

已经修复了吧.
支持(0)反对(0)
  

#70楼 2012-09-28
09:32 Ron
Ngai  

引用

无意中发现12306的问题,上亿的系统还有这样的细节问题,

想不到12306还有这个的问题......




我记得这个漏洞是乌云爆出来的。我也不知道给乌云爆料的是不是博主。
http://www.wooyun.org/bugs/wooyun-2010-012758


当然难说博主也无意中发现了。。。

支持(0)反对(0)
  

#71楼 2012-09-28
10:03 yaoTong  

其实Web开发是软件开发中最难的。需要研究和考量的内容太多了,成为一个专业的Web开发工程师需要十多年的历练。但在外行人眼里会误认为:不就是做个网站。
支持(4)反对(0)
  

#72楼 2012-09-28
10:09 山中客  

12306不容易啊!!!
支持(0)反对(0)
  

#73楼 2012-09-28
10:10 Lepton  

@yaoTong

引用

其实Web开发是软件开发中最难的...




注入都不知道,干个毛 Web

支持(0)反对(0)
  

#74楼 2012-09-28
10:17 yaoTong  

@山中客

引用

12306不容易啊!!!



如果让淘宝这样的公司来做,就会很容易。

支持(0)反对(0)
  

#75楼 2012-09-28
10:19 kiler  

Hibernate根本就不会生成 Select * 这样的语句,居然有人黑orm,很明显是菜鸟程序猿调用直接执行SQL的接口写的东西。
支持(0)反对(0)
  

#76楼 2012-09-28
10:30 蓝天精灵  

典型的Hibernate掌握不熟练,一会Hibernate一下,一会sql语句。
支持(0)反对(0)
  

#77楼 2012-09-28
10:31 Martell
XO  

太极的产品,接触过,我只能说java性能还是没有.net好。
支持(0)反对(1)
  

#78楼 2012-09-28
10:32 Tim_et  

外包外包...再外包,最后可能是学生做的。程序猿伤不起的...cnm外包....
支持(0)反对(0)
  

#79楼 2012-09-28
10:32 一钩残月带三星  

越看越像是给实习生练手的作品
支持(0)反对(0)
  

#80楼 2012-09-28
10:38 zwbbmm  

@小木鱼淘金

可怜的我们程序猿啊……
支持(0)反对(0)
  

#81楼 2012-09-28
10:58 淮左  

伤不起啊
支持(0)反对(0)
  

#82楼 2012-09-28
11:00 0x0qwe  

这东西居然是3个亿的大作,⊙﹏⊙b汗啊
支持(0)反对(0)
  

#83楼 2012-09-28
11:07 songmc  

@峰再起时

我估计时间长了,自己都记不清什么意思吧。
支持(0)反对(0)
  

#84楼 2012-09-28
11:07 Crazy
Chris  

担心高铁的质量!!!
支持(0)反对(0)
  

#85楼 2012-09-28
11:51 skybirdzw  

呵呵,其实我就是不想告诉你们这个系统是我做的!
支持(0)反对(0)
  

#86楼[楼主2012-09-28
12:01 贤达  

@skybirdzw

如果真的是你做的,请做全面的测试,可能还有其他的危险漏洞
支持(1)反对(0)
  

#87楼 2012-09-28
12:25 CN-XT-HJL  

怀疑是不是毕业生的毕业项目直接放上去了啊?
支持(0)反对(0)
  

#88楼 2012-09-28
12:45 shusheng.  

无证程序员所为!
支持(0)反对(0)
  

#89楼 2012-09-28
13:26 osold  

这个程序员肯定是个零时工。
支持(0)反对(0)
  

#90楼 2012-09-28
13:41 倚天照海-
-  

@skybirdzw

你还没毕业吧 ,铁道部给了多少回扣你 阿。。。
支持(0)反对(0)
  

#91楼 2012-09-28
14:44 神爷  

@Casper
Jong

淡定,同样愤慨!
支持(0)反对(0)
  

#92楼 2012-09-28
15:29 迷惘小子  

@银光小子

引用

2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊 2个亿啊...




2个亿就2个亿,你在这激动个球啊!!

返回
【上篇】
【下篇】

作者:

抱歉!评论已关闭.

返回首页

Copyright © 2013-2018 学步园  保留所有权利.
软文销售 QQ客服:2265327166 点击这里给我发消息(其他合作也可洽谈)
必威体育
必威电竞