铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞
作者 陈怀临 | 2012-09-29 06:33 | 类型 行业动感 | 18条用户评论 »
[原文可参阅:http://blog.csdn.net/csh624366188/article/details/8029181 ] 铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。 下图是爆出的SQL语句,可以明显地看出其表结构,相信各位技术人员能够轻易地辨别出网站开发者的功底如何了吧。 另外,从类名也可以看出,网站采用的是常见的SSH组合,根据这些漏洞可以很轻易地进行SQL注入,从而达到非法攻击或者盈利的目的。据了解,专业技术人士发现12306.cn网站有非常明显的SQL注射漏洞,危害等级非常的高。乌云网介绍,该漏洞系XSS、绝对路径泄漏、SQL注入。提交漏洞的技术人员幽默的表示:“好几亿的项目,没敢跑库,跑坏了赔不起。” 还有一点要说的是本来这个网站访问量就很大,你丫的竟然为了得到一个或者两个字段的数据竟用select*??这个你让我这初学者经常犯的错误都不好意思犯了。类似“like、%”等模糊匹配,你难道不知道他效率极其低下,一般的网站都很少少用这种匹配 ,你丫的竟然使用。无语了。。。 另外网友还给出了12306的完整异常栈,可以确定的是: 数据库: Oracle 应用服务器:WebLogic 开发框架:Spring\Hibernate\Struts 连接池:C3P0 其中还有多少代码问题,欢迎大家一起为12306“查虫”,但请不要进行任何违法攻击行为。 信息来自开源中国论坛 另附乌云网曝光的12306众多漏洞: UPDATE: 微博网友提示,原来还有更多亮点: 从上边一些简单代码可以看出,此代码出自一个大一刚开始接触code的小朋友所为,丫的css和js还有图片放到一个文件夹里。这是一个3亿多的项目哩。。。。 来看看12306的完整异常栈吧,ssh,oracle 完整的SQL语句在这里哦! | |
雁过留声
“铁道部12306后台技术框架、完整异常栈信息以及技术缺点和漏洞”有18个回复
底裤被扒了
全民一起上把铁道部网站加固优化得了
LZ, there’s a fundamental concept need to solid prior to think about 加固优化铁道部网站.
An “好几亿的项目,没敢跑库,跑坏了赔不起。” why done on/by mickey mouse jobs?
“Fixing or just build a new one”
现在的90小弟弟小妹妹写代码都是这样,很多公司都有这种毛病。只不过12306比较突出了。
多做点调查。
后台票库的数据库是分布在18个路局的Sybase,窗口售票是PB。网站只是一个接入和转发,网络售票的逻辑部分可能用了Oracle,网站本身以Tomcat/JBoss为主,WebLogic部分是支付。
几个亿如果包括如果包括全国软硬件系统的定制开发、安装、调测和维护等,如果是真行货,其实是太便宜了,关键是质量是水货、行水还是真行货。如果这个价格能做成真正质量可靠的行货,那太牛了,可以把这个售票系统卖到全球,13亿人的铁路售票系统都能搞定,还有哪个国家的售票系统搞不定。
和同事吹牛,说这个给淘宝或者腾讯的做,应该很快而且质量很稳定,可惜黄牛关不好过,无法内部倒票了哈
在天朝,先进科学技术不一定代表先进生产力呀。
陈首席你绝对是生气了呵呵
不知道为毛动不动就拿taobao比,这完全不可比,这个系统本来只是想给高铁和动车用,结果临时改了,开始只有400M的带宽,谁做都不行,现在到底多少不清楚。这个问题我看基本无解,即使分布了又如何,解决了这些所有的问题又如何?根本原因是票少人多,谁能有办法?除非各地的经济比较平衡,否则解。。。
见怪不怪了,很多技术网站也有类似问题,现在的程序员门槛越来越低,产出的东东也就这样了
不能分时间出票吗?八点售北京出发的票,九点售上海出发的票,十点售广东出发的票….
装备不行,就不能打战术站? 毛泽东思想丢哪去了….
css和js还有图片为啥不能放到一个文件夹里?
是,12306是很烂,可是你们这些宅男,屌丝,技术狂人,有谁敢攻击吗? 呵呵。
起步阶段应该考虑通过腾讯,阿里巴巴,百度这样的IT知名企业的成熟IT架构来配合做支付。
估计后台处理很复杂吧,也不是这个简单查询,出票的事。
但是UI实在做的太烂了,花个千八百块钱,也不至于界面做这么难看。
做好真的不容易,用过很多订票系统,德国铁路DB是最好过的,是最值得借鉴的,其他的都不在一个档次。
12306后台的流程并不多,而且也没那么复杂,关键的就是人多票少,这个谁有办法?平时买票还是很方便的,但做的确实太二了