Wuyun は鉄道省の 12306 ウェブサイトで SQL インジェクションなどの複数の脆弱性を暴露しました

admin5.comが9月28日に報じたところによると、国内の有名な脆弱性報告プラットフォームは9月27日、鉄道部のチケット予約ウェブサイト（12306.cn）に多数の高リスクの脆弱性が含まれていることを明らかにした。 「脆弱性の袋」というフレーズは、12306.cn の脆弱性の数を説明するために使用されます。

関係する内部告発者は、Wuyun脆弱性プラットフォームを通じて、12306.cnにはXSS、絶対パス漏洩、SQLインジェクション（サブステーションインジェクション）などの複数の脆弱性があると述べました。彼はまた、「数億の価値があるプロジェクトですが、データベースを実行する勇気がありませんでした。壊れたら補償する余裕がないのです...」と冗談を言った。あるネットユーザーはSina Weiboで、「12306ウェブサイトはインジェクションされ、データベースが露出しましたが、SQL文のコードも非常に低レベルであり、これが12306ウェブサイトが非効率で停止している本当の原因です。DBAの観点から見ると、これは愚かです。新卒者はよくこのような間違いを犯します。私たちは彼らに修正する機会を与えます。それが12306オンラインシステムに現れるのは不合理です」と述べた。Wuyun脆弱性プラットフォームによると、3つ以上の異なるサブシステムで同じセキュリティ問題がWuyunに報告されており、いずれも比較的低レベルの問題だった。詳細は12306ウェブサイトに通知されており、処理待ちです。

9月21日、12306ウェブサイトはシステムをアップグレードしましたが、その後、ネットワークの混雑と繰り返しの待ち行列が発生しました。もともと比較的安定していたオンラインチケット予約システムにはさまざまなバグがあり、脆弱性が絶えず露出していました。中秋節と国慶節を前に、オンラインでのチケット予約の難しさがネットユーザーの間で最も話題になっている。鉄道省が入札に3億3000万元を費やして開発した新世代の乗車券システムは、ログインや乗車券購入が困難などの問題に直面しており、メディアや国民は疑問を呈している。 9月27日、鉄道省広報室は入札プロセスについて比較的詳細な説明を行った。ウェブサイトに問題があったことは認めたものの、建設費などのデータについては触れなかった。

原題: Wuyun が鉄道省の 12306 ウェブサイトで SQL インジェクションなどの複数の脆弱性を公開

キーワード: 五雲、露出、鉄道省、12306、ウェブサイト、SQL、インジェクション、複数、ウェブマスター、ウェブサイトの宣伝、金儲け