铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。
下图是爆出的SQL语句,可以明显地看出其表结构,相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。
另外,从类名也可以看出,网站采用的是常见的SSH组合,根据这些漏洞可以很轻易地进行SQL注入,从而达到非法攻击或者盈利的目的。据了解,专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞,危害等级非常的高。乌云网介绍,该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示:“好几亿的项目,没敢跑库,跑坏了赔不起。”
还有一点要说的是本来这个网站访问量就很大,你丫的竟然为了得到一个或者两个字段的数据竟用select*??这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配,你难道不知道他效率极其低下,一般的网站都很少少用这种匹配 ,你丫的竟然使用。无语了。。。
另外网友还给出了12306的完整异常栈,可以确定的是:
数据库: Oracle
应用服务器:WebLogic
开发框架:Spring\Hibernate\Struts
连接池:C3P0
其中还有多少代码问题,欢迎大家一起为12306“查虫”,但请不要进行任何违法攻击行为。
信息来自开源中国论坛
另附乌云网曝光的12306众多漏洞:
WooYun-2012-12758
WooYun-2012-12515
WooYun-2012-12517
WooYun-2012-12365
UPDATE:
微博网友提示,原来还有更多亮点:
从上边一些简单代码可以看出,此代码出自一个大一刚开始接触code的小朋友所为,丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。
来看看12306的完整异常栈吧,ssh,oracle
完整的SQL语句在这里哦!
推荐阅读:
铁道部3.3亿招标背后:12306后台技术遭业内质疑
http://www.s1979.com/young/jinrishidian/201209/2754907127.shtml
------------------------------------------------------------------------------------------------------------
《Java程序员由笨鸟到菜鸟》电子版书正式发布,欢迎大家下载
http://blog.csdn.net/csh624366188/article/details/7999247
铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞相关推荐
- 铁道部12306后台技术框架 完整异常栈信息以及技术缺点和漏洞
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 铁道部旗 ...
- 计算机七年级知识点,七年级信息的技术演示课件——计算机与信息的技术基本知识点.ppt...
七年级信息的技术演示课件--计算机与信息的技术基本知识点 信息技术课件 1.1 计算机概述 1.3.4 计算机硬件系统 1.2.1 数字化信息编码的概念 1.2.2 进位计数制 ①八进制:0.2.3. ...
- python traceback_Python 捕捉traceback异常栈信息
相关函数简介 sys.exc_info() 返回包含3个元素(type, value, traceback)的元组,提供关于当前正被处理的异常信息.如果异常没有被处理,返回包含3个None值的元组. ...
- 耗时1年的前端技术框架切换之旅
本文分享自华为云社区<记一次难忘的前端技术框架切换之旅[WEB前端大作战]>,原文作者:一颗白菜 . 一.旅行之始 2020年初,某个普通的工作日,正在聚精会神"搞事情" ...
- 产品经理必了解的3个app技术框架
在现在越来越多的app,你可以看到有一些app中是混着网页加载的(我们俗称的为H5)但要注意的web 前端开发是包含着h5的.web前端开发还包括了许多内容,比如说后台html,css,div等都是属 ...
- Java中的异常栈轨迹和异常链
Java中允许对异常进行再次抛出,以提交给上一层进行处理,最为明显的例子为Java的常规异常. 常规异常:有Java所定义的异常,不需要异常声明,在未被try-catch的情况下,会被默认上报到mai ...
- log日志中不打印异常栈的具体信息
问题与分析 最近在查项目的log时发现报了大量的NPE(NullPointerException),诡异的是只log了Exception的类名,却没有具体的堆栈信息,以致于无法对该NPE异常进行准确定 ...
- Android HAL层/native C程序打印栈信息方法
在调试Android系统底层函数时,经常需要跟踪函数调用流程,特别在HAL层需要确定参数来源时.使用栈信息逆向跟踪可快速分析函数调用流程,结合使用addr2line工具.绘图工具可绘制函数关系图.本文 ...
- 应对不良网络文化的技术之一——网络信息抽取技术
1 引言 2008年1月17日,中国互联网络信息中心(CNNIC)发布了<第21次中国互联网络发展状况统计报告>[1],报告显示: (1) 截至2007年12月,网民数已增至2.1 ...
最新文章
- OpenStack 架构图
- c语言患者住院管理系统,患者住院管理系统 C,C++.doc
- 【Linux 内核 内存管理】优化内存屏障 ① ( barrier 优化屏障 | 编译器优化 | CPU 执行优化 | 优化屏障源码 barrier 宏 )
- sql 新建发布 找不到存储过程_pgRouting教程九:使用GeoServer发布WMS/WFS接口
- 数据结构——排序算法(含动态图片)
- Java主线程等待子线程、线程池
- 计算机网络就业范围分析,计算机网络技术专业就业前景怎么样「就业形势分析」...
- asp网站短信api服务器,asp短信接口源码 比较简单但也挺实用用的(两个写法)...
- C语言断言assert详解
- 税控服务器管理系统已签名未上传,增值税发票管理系统升级后发票上传失败、勾选平台插件设置、勾选签名问题、勾选规则等热点问题...
- 如何修改文件格式(win10)
- css 文字不规则排版,DIV CSS解决不规则文字排版
- [note]First draft of a report on the EDVAC (1~2)
- MOOS-ivp app发布车辆位置及控制车辆运动
- [转载]Deep Neural Networks are Easily Fooled: High Confidence Predictions for Unrecognizable Images
- c语言将时速转换成配速,都是速度指标,为何跑步用“配速”而非“时速”?3个原因请明白...
- 数据科学家经典20道面试题
- 语音输入是计算机在哪个领域的应用,人工智能语音识别支持9种语言
- AR单片机编程软件的菜单栏功能及用法
- Git push的常见用法