网友发现火车票订票网站 12306.cn 存在 sql 注入漏洞

字数201 大约花费1分钟

有网友发现中国铁路货运电子商务系统 12306.cn 存在 sql 注入 bug, 只要在浏览器地址栏中输入 http://hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″> 以及“您想说的话”,就可以让该页面错乱并显示“您想说的话”。 比如,输入: hyfw.12306.cn/Dzsw/action/action/FwcszsAction_index?type=–>%27″><H1%20style=”color:red;font-size:100px;”>3 个亿的傻 x 项目 <%2FH1>

效果如下:

12306sql 注入的 bug

由于存在 sql 注入攻击的漏洞,在该网站注册的用户的手机号和身份证对应关系可能被窃取。

谈谈 IT的文章均为原创或翻译(翻译会注明外文来源),转载请以链接形式标明本文地址: http://tantanit.com/wang-you-fa-xian-huo-che-piao-ding-piao-wang-zhan-12306-cn-cun-zai-sql-zhu-ru-lou-dong/

谈谈IT

欢迎关注官方微信公众号获取最新原创文章