有网友发现中国铁路货运电子商务系统12306.cn存在sql注入bug,只要在浏览器地址栏中输入http://hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″>以及“您想说的话”,就可以让该页面错乱并显示“您想说的话”。 比如,输入: hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″><H1%20style=”color:red;font-size:100px;”>3个亿的傻x项目<%2FH1>
效果如下:
由于存在sql注入攻击的漏洞,在该网站注册的用户的手机号和身份证对应关系可能被窃取。