这其实是个励志故事,告诉我们只要坚持,再烂的程序员都可以写到亿级别的项目的

2012年9月27日,中国铁道科学研究院的12306网站被曝存在SQL注入漏洞、XSS攻击和绝对路径泄漏风险。漏洞由qiaoy发现并报告,厂商确认并在处理中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞概要关注数(67关注此漏洞

缺陷编号: WooYun-2012-12758

漏洞标题: 12306漏洞一包裹

相关厂商: 中国铁道科学研究院

漏洞作者: qiaoy

提交时间: 2012-09-27

漏洞类型: SQL注射漏洞

危害等级: 高

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org

Tags标签: 无

0人收藏  收藏
分享漏洞:
100


漏洞详情

披露状态:

2012-09-27: 细节已通知厂商并且等待厂商处理中
2012-09-27: 厂商已经确认,细节仅向厂商公开
2012-10-07: 细节向核心白帽子及相关领域专家公开
2012-10-17: 细节向普通白帽子公开

简要描述:

XSS、绝对路径泄漏、SQL注入(分站有个注入,好几亿的项目,没敢跑库,跑坏了赔不起.......)

漏洞hash:83abf3b6f6e210385ab59b789f72efe3

版权声明:转载请注明来源 qiaoy@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-09-27

厂商回复:

已确认。修补中。谢谢!

最新状态:

暂无


评论

  1. 2012-09-27 10:46 |  猥琐 ( 实习白帽子 | Rank:6 漏洞数:2 | 学习什么的最重要!)
    0

    一包裹!!!

  2. 2012-09-27 10:51 |  Nimda ( 实习白帽子 | Rank:10 漏洞数:1 | <br> <br> <br>)
    0

    擦! 擦擦擦

  3. 2012-09-27 10:56 |  笑傲浆糊 ( 实习白帽子 | Rank:12 漏洞数:1 | 没死,还活在)
    0

    一包裹!!!求快递

  4. 2012-09-27 11:50 |  蟋蟀哥哥 ( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
    0

    名字太淫荡了。。你还跑库。。。你能跑动么????网站一会就打不开 一会打不开

  5. 2012-09-27 12:14 |  使命召唤 ( 实习白帽子 | Rank:13 漏洞数:4 | 菜鸟一个)
    0

    @蟋蟀哥哥 没个20M光纤还真不敢

  6. 2012-09-27 12:32 |  zeracker ( 普通白帽子 | Rank:891 漏洞数:117 | 前面的帅锅,你的腰子掉了。)
    0

    — —。

  7. 2012-09-27 12:55 |  无敌L.t.H ( 实习白帽子 | Rank:5 漏洞数:2 | Learning to hacking.)
    0

    先露源IP出来给大家爽爽

  8. 2012-09-27 13:00 |  pangshenjie ( 实习白帽子 | Rank:19 漏洞数:5 )
    0

    围观、、、

  9. 2012-09-27 14:06 |  蚂蚁牙黑 ( 实习白帽子 | Rank:17 漏洞数:2 | 111)
    0

    先得去买几斤硬盘啊

  10. 2012-09-27 14:50 |  四先生 ( 实习白帽子 | Rank:10 漏洞数:1 | 你的热爱能走多远?我的热爱飞的过沧海!)
    0

    一包裹!!!求快递 记得走圆通

  11. 2012-09-27 15:33 |  xiaoshi ( 实习白帽子 | Rank:7 漏洞数:2 | 俺是来打酱油的)
    0

    老板,来一斤!

  12. 2012-09-27 15:35 |  丁小乐 ( 实习白帽子 | Rank:0 漏洞数:1 | 新手上路)
    0

    http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G 这个页面,自重输入1'

  13. 2012-09-27 15:45 |  Breaker ( 实习白帽子 | Rank:12 漏洞数:1 | .)
    0

    ...这么NB

  14. 2012-09-27 15:53 |  小威 ( 普通白帽子 | Rank:47 漏洞数:9 | 一沙一世界 一树一菩提)
    0

    就这站的速度 裤子还真脱不下来 这属于防脱裤新技术

  15. 2012-09-27 16:03 |  hongygxiang ( 普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)
    0

    有必要先了解下数据库机器有没有帖符;

  16. 2012-09-27 16:18 |  三叶草 ( 实习白帽子 | Rank:14 漏洞数:5 | 幸福是靠自己努力的)
    0

    貌似火了...http://zone.wooyun.org/content/1156

  17. 2012-09-27 16:32 |  super480 ( 实习白帽子 | Rank:22 漏洞数:2 )
    0

    货到付款吗

  18. 2012-09-27 16:44 |  Viigoss ( 实习白帽子 | Rank:6 漏洞数:1 | viigoss)
    0

    中国铁道科学研究院 他网站服务器上库里没多少有用的。难道你内网渗透了?

  19. 2012-09-27 16:55 |  horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)
    0

    洞主继红孩子之后,又在刚好的时刻刚好的火了...

  20. 2012-09-27 17:10 |  网络骑士 ( 普通白帽子 | Rank:33 漏洞数:3 | 要低调! 低调才是最NB的炫耀!)
    0

    测试到100+个字段还没出现正常页面…… 我唯一好奇的是 这表泥玛有多少字段

  21. 2012-09-27 17:11 |  asmc ( 普通白帽子 | Rank:40 漏洞数:9 | 爱好和平,爱好友谊 忠诚爱情,孝廉一世)
    0

    36

  22. 2012-09-27 17:41 |  Joey Yin ( 普通白帽子 | Rank:60 漏洞数:5 )
    0

    找到注入点了,试了试不敢继续了,怕被敲门。尼玛几个亿的项目,到时候都不知道怎么死的

  23. 2012-09-27 18:14 |  Vi0lent ( 普通白帽子 | Rank:131 漏洞数:14 | hello fuck~)
    1

    这其实是个励志故事,告诉我们只要坚持,在烂的程序员都可以写到亿级别的项目的.鉴定完毕!

  24. 2012-09-27 18:26 |  网络骑士 ( 普通白帽子 | Rank:33 漏洞数:3 | 要低调! 低调才是最NB的炫耀!)
    0

    还真是36,可能是手快看漏了

  25. 2012-09-27 20:25 |  zsx ( 实习白帽子 | Rank:0 漏洞数:1 | 一个人)
    0

    我擦。。

  26. 2012-09-27 20:44 |  xiya ( 实习白帽子 | Rank:5 漏洞数:1 | 行者不言..)
    0

    mark

  27. 2012-09-27 22:06 |  冷冷的夜 (核心白帽子 | Rank:130 漏洞数:11 | 想去毕业旅行)
    0

    撸过

  28. 2012-09-28 00:17 |  hongygxiang ( 普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)
    0

    撸过

  29. 2012-09-28 10:10 |  啤酒 ( 普通白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)
    0

    上亿的项目,最简单的最低级的防护都没有.情何以堪.

  30. 2012-09-28 16:16 |  搁浅 ( 实习白帽子 | Rank:5 漏洞数:1 | 关注互联网安全)
    0

    撸过

  31. 2012-09-29 13:04 |  小A ( 实习白帽子 | Rank:5 漏洞数:1 | 您好,我是小A。 低调。。。。。。)
    0

    @Vi0lent 讲述了一个程序猿是怎样成长为攻城狮的。。。

  32. 2012-09-29 16:16 |  CHForce ( 实习白帽子 | Rank:0 漏洞数:1 | 研究ps脚本和网络安全的单个人。爱好设计 ...)
    0

    基于牛A 与 牛C 之间

  33. 2012-09-30 10:08 |  Breaker ( 实习白帽子 | Rank:12 漏洞数:1 | .)
    0

    看不到了...

  34. 2012-10-11 09:33 |  zzR ( 普通白帽子 | Rank:135 漏洞数:20 | Mr.Going To Work)
    0

    洞主,此洞已火,鉴定完毕


评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值