12306你做的这是什么系统呀!
来源:互联网 发布:windows xp vl key 编辑:程序博客网 时间:2024/04/28 10:50
12306你做的这是什么系统呀!
无意中发现12306的问题,上亿的系统还有这样的细节问题,
想不到12306还有这个的问题
前台没有采用基本脚本的验证,后台也没有验证,
可以进行sql注入,拼接sql里面用 Select * from
而且没有屏蔽404,
框架采用的是spring+hibernate还有大量的其他的框架,
alert("当前访问用户过多,请稍后重试!");
这样的用户交互,
这样低级的错误让程序员情何以堪呀!
避免出现较大的影响 请大家不要注入SQL
也希望12306早点修复这个问题!
这个bug拿到整个数据库的表结构设计和数据,不存在任何问题,为了避免非法用途希望早点修复
分类: 生活、感悟、人生
绿色通道: 好文要顶 关注我 收藏该文与我联系
21
0
(请您对文章做出评价)
« 博主前一篇:ERP产品框架设计之路(二)
posted @ 2012-09-27 15:31 贤达 阅读(9576) 评论(92) 编辑 收藏
12
评论列表
强势围观
支持(0)反对(0)
能说脏话吗?不能说就算了,不能说也要说,老子们就生活在这么个国家,卑鄙无耻下流,cnmdtdb,mlgb的
支持(0)反对(0)
12306的腐败问题很重啊。咋到现在还没有人查啊
支持(0)反对(0)
据我目测啊,我估计啊,这网站上线之前,1人测试,估计也就是高校没毕业的学生测得,再据我目测啊,这网站就一个人维护,而且丫还老上cnblog.一看不对劲,马上后台一改完事。
支持(3)反对(0)
这个漏洞太不应该了吧!!
支持(0)反对(0)
肯定是无证程序员写的!!!!!!!
支持(0)反对(0)
典型的菜鸟写的代码啊。
支持(0)反对(0)
铁老大内部层层剥削,最后剩下骨头,只能留给无证的苦逼的程序员去啃了。
支持(4)反对(0)
哈哈~~
支持(0)反对(0)
@银光小子
3个多E好不好。
3个多E好不好。
支持(0)反对(0)
@ruijiang21
如果他能上博客园是件好事!
如果他能上博客园是件好事!
支持(0)反对(0)
谁敢黑一下么?
支持(0)反对(1)
坑爹的铁道部,能不能争气点啊。
支持(0)反对(0)
要是外包给我,我拿一个亿请世界上最好的团队来做一个网站肯定能满足需求,净赚两个亿
支持(0)反对(0)
已经修改了
支持(0)反对(0)
刚提示,正在修复中……(21:00~7:00)
支持(0)反对(0)
@码不停蹄
你净赚的那2个亿要都拿出来层层发回扣才能让你拿到这个项目的。
你净赚的那2个亿要都拿出来层层发回扣才能让你拿到这个项目的。
支持(3)反对(0)
你说你不能支持大量并发就算了,大家也就嘴上骂骂,你TM这样的低级错误,简直就是犯罪啊,要是由于个人信息的泄露造成的损失,铁道部你TM的难辞其咎(虽然是幻想),大家不要骂程序员,主要责任在于12306系统的负责人,不会也是从体育界半路出家的吧!!!
一个关乎国计民生的项目,一个以巨资打造的项目,TM就做成这样,这TM是中国IT行业的耻辱!!!
干,激动了!!!
一个关乎国计民生的项目,一个以巨资打造的项目,TM就做成这样,这TM是中国IT行业的耻辱!!!
干,激动了!!!
支持(1)反对(0)
无论从哪个角度去看,12306都不像个产品,倒像个毕业设计,看设计,哪家IT公司会让美工去做出这么山寨的效果出来,前段框架,简直就是垃圾一个,不敢相信这样的作品也敢上线露脸。那些大神们都不屑于对此做任何的评论的说
支持(0)反对(0)
天朝的悲哀!!ZG还能生存多久?
支持(0)反对(0)
czdm cxdm ziz zaz 是什么意思?真猜不出来啊……
支持(0)反对(0)
@tebato
Error 403--Forbidden
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.4.4 403 Forbidden
The server understood the request, but is refusing to fulfill it. Authorization will not help and the request SHOULD NOT be repeated. If the request method was not HEAD and the server wishes to make public why the request has not been fulfilled, it SHOULD describe the reason for the refusal in the entity. This status code is commonly used when the server does not wish to reveal exactly why the request has been refused, or when no other response is applicable.
Error 403--Forbidden
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.4.4 403 Forbidden
The server understood the request, but is refusing to fulfill it. Authorization will not help and the request SHOULD NOT be repeated. If the request method was not HEAD and the server wishes to make public why the request has not been fulfilled, it SHOULD describe the reason for the refusal in the entity. This status code is commonly used when the server does not wish to reveal exactly why the request has been refused, or when no other response is applicable.
支持(0)反对(0)
@小小搬运工
czdm=车子代码 cxdm=车型代码 ziz=自重,zaz=载重,clcs=车辆参数,我以前学数据库的时候经常这样干的。
czdm=车子代码 cxdm=车型代码 ziz=自重,zaz=载重,clcs=车辆参数,我以前学数据库的时候经常这样干的。
支持(2)反对(0)
刚毕业新手或实习生做的,100%确定,12306让人无语了,可以贪一部分,可是贪到只用招实习生的钱来做系统,无语了
支持(0)反对(0)
身份证都知道了,故意留个漏洞勾引你。。。。。屌丝程序员们,快去注入吧。。。哈哈哈哈。。
支持(0)反对(0)
哈哈,据说不止这个漏洞啊。
估计也没人敢黑它。。(不然小心查水表)
估计也没人敢黑它。。(不然小心查水表)
支持(0)反对(0)
已经修复了吧.
支持(0)反对(0)
我记得这个漏洞是乌云爆出来的。我也不知道给乌云爆料的是不是博主。
http://www.wooyun.org/bugs/wooyun-2010-012758
当然难说博主也无意中发现了。。。
支持(0)反对(0)
其实Web开发是软件开发中最难的。需要研究和考量的内容太多了,成为一个专业的Web开发工程师需要十多年的历练。但在外行人眼里会误认为:不就是做个网站。
支持(4)反对(0)
12306不容易啊!!!
支持(0)反对(0)
@yaoTong
注入都不知道,干个毛 Web
注入都不知道,干个毛 Web
支持(0)反对(0)
@山中客
如果让淘宝这样的公司来做,就会很容易。
如果让淘宝这样的公司来做,就会很容易。
支持(0)反对(0)
Hibernate根本就不会生成 Select * 这样的语句,居然有人黑orm,很明显是菜鸟程序猿调用直接执行SQL的接口写的东西。
支持(0)反对(0)
典型的Hibernate掌握不熟练,一会Hibernate一下,一会sql语句。
支持(0)反对(0)
太极的产品,接触过,我只能说java性能还是没有.net好。
支持(0)反对(1)
外包外包...再外包,最后可能是学生做的。程序猿伤不起的...cnm外包....
支持(0)反对(0)
越看越像是给实习生练手的作品
支持(0)反对(0)
@小木鱼淘金
可怜的我们程序猿啊……
可怜的我们程序猿啊……
支持(0)反对(0)
伤不起啊
支持(0)反对(0)
这东西居然是3个亿的大作,⊙﹏⊙b汗啊
支持(0)反对(0)
@峰再起时
我估计时间长了,自己都记不清什么意思吧。
我估计时间长了,自己都记不清什么意思吧。
支持(0)反对(0)
担心高铁的质量!!!
支持(0)反对(0)
呵呵,其实我就是不想告诉你们这个系统是我做的!
支持(0)反对(0)
@skybirdzw
如果真的是你做的,请做全面的测试,可能还有其他的危险漏洞
如果真的是你做的,请做全面的测试,可能还有其他的危险漏洞
支持(1)反对(0)
怀疑是不是毕业生的毕业项目直接放上去了啊?
支持(0)反对(0)
无证程序员所为!
支持(0)反对(0)
这个程序员肯定是个零时工。
支持(0)反对(0)
@skybirdzw
你还没毕业吧 ,铁道部给了多少回扣你 阿。。。
你还没毕业吧 ,铁道部给了多少回扣你 阿。。。
支持(0)反对(0)
@Casper Jong
淡定,同样愤慨!
淡定,同样愤慨!
支持(0)反对(0)
@银光小子
2个亿就2个亿,你在这激动个球啊!!
2个亿就2个亿,你在这激动个球啊!!
- 12306你做的这是什么系统呀!
- 你的大学是什么做的?
- 你优化系统的目标是什么?
- 做数据分析时_你的方法论是什么?
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 你做过的最有效的提高你的编程水平的一件事情是什么
- 是什么吸引你做测试,而不是开发
- 你的价值是什么?
- 你的理想是什么?
- 你的选择是什么?
- startActivityForResult()的用法
- 用GDB调试程序(四)
- 日三省乎己
- JUnit的报错“No tests found with test runner JUnit4”
- 死锁的四个必要条件
- 12306你做的这是什么系统呀!
- unity3d学习(四)
- 网页图片延迟加载的jQuery插件-Lazy Load Plugin for JQuery
- Java中使用Runtime和Process类运行外部程序
- 用GDB调试程序(五)
- (转)QT下实现分辨率自适应的方法
- android中ListView点击和ListView的item里面的button或ImageView不能同时生效的解决
- windows外部命令大全
- web.xml文件中的encodingFilter编码配置