乌云曝光铁道部12306网站存在SQL注入等多个漏洞

aiboboxx

站长网(admin5.com)9月28日消息，9月27日国内知名漏洞报告平台曝光铁道部订票网站(12306.cn)存在大量高危漏洞。并用漏洞一包裹来形容12306.cn存在的漏洞数量。
3 t5 T  m9 a4 {( }

5 ?' x6 X! t5 N; b4 O+ B7 f                               
登录/注册后可看大图

3 i5 h0 l- B* e

! W% S- H  e0 T5 Z( D                               
登录/注册后可看大图

相关爆料人士通过乌云漏洞平台表示12306.cn存在XSS、绝对路径泄漏、SQL注入(分站被注入)等多个漏洞。并调侃称好几亿的项目，没敢跑库,跑坏了赔不起.......有网友通过新浪微博表示12306网站被注入、被暴库也就算了，SQL语句代码也十分低级，是12306网站效率底下，卡死的真正原因。从dba角度，这属于弱智级，应届生经常会犯这样的错误，我们会给机会改正，出现在12306线上系统，无法理喻。乌云漏洞平台表示有超过三个不同子系统的同样的安全问题在乌云上报，都属于比较低级问题。目前细节已通知12306网站，等待处理中。
; k" t+ [6 F5 A9月21日12306网站对系统进行全新升级，随后出现网络拥堵、重复排队等情况，原本较为稳定的在线订票系统出现各种bug，不断被爆出漏洞。在线订票难成为中秋、国庆双节前被网民最为关注的话题。媒体和公众对铁道部新一代客票系统花了3.3亿招投标，但却出现登录难、购票难等问题发出质疑。9月27日铁道部信息化办公室对招标过程作出了相对具体的说明，虽然承认网站存在问题，但未提及造价等数据。