12306火车订票系统漏洞
杰拉斯 | 时间:2012-09-27, Thu | 17,213 views前沿信息
摘要:铁道部旗下在线购票网站12306自诞生起就一直为人所诟病,网站经常崩溃、UI粗糙、漏洞满框,但这都不是什么新闻了,近日网友爆出12306的技术框架及其表结构,大家可以来一览究竟。
可以明确的是:
这里可以看到完整的SQL语句:
SQL语句如下:
select * from TB_INFO_CLCS where flag='Y' and czdm='G' and ziz like '%6'%' order by cxdm
这句SQL有几个亮点:
- select *全表查询,会降低查询效率,只查询所需的列名可以减少查询数据,提高性能。
- like效率比较低,在数据量较大的情况下不适用。
- like '%6'%'说明没有过滤,存在SQL注入漏洞。
漏洞地址(已修复):http://hyfw.12306.cn/hyinfo/action/ClcscxAction_clcscx?cllx=G&ziz=6'
图片来自:http://www.oschina.net/question/82993_71718
如需转载请注明出处:杰拉斯的博客
当前暂无评论 »