根据财政部网站的中标公告,功能并不复杂的中国工会网站扩建项目一期工程居然花了670万元。这个网站已经被网友戏称为史上最贵网站。
众所周知,由于技术发展迅速,现在类似的内容网站的建站成本已经非常低,即使是重新开发所有功能,业内报价最多也就在几十万。事实上,记者随机采访了几位专门从事网站开发的CSDN网友,估价基本在10万以内,有的甚至说5万甚至1万也能干。而这个一期工程中标公告中所列的项目,无非是最基本、技术难度不大的网站改版、内容管理、站内检索和统计分析。
记者注意到,这次中标的单位是中软宏大公司。可是,这家公司以打造中国软件第一品牌为口号,自称专业从事软件研发、系统集成的高新技术企业,自己的网站却不遵守基本的Web技术标准。记者在流行的Chrome、Firefox等浏览器里打开的网页都是一片混乱。
人们需要思考的,也许不是这个个案,而是这个网站真的是史上最贵的网站吗?这种现象还有多少,又是什么原因呢?
很快有网友发现,孔子学院的网站中标价更是惊人,达到了3520万!根据财政部网站上的中标公告,这个名为网络孔子学院网站运营服务项目的采购项目,采购人为国家汉办(孔子学院总部),中标供应商为五洲汉风网络科技(北京)有限公司。更意味深长的是,Google搜索显示,五洲汉风公司是国家汉办的直属公司:原来如此!
一点发现:
原来中国工会网站是用ASP.NET做的(见其中的一个链接:http://www.workercn.cn/cn/phb.aspx),不过页面里没有 <input type="hidden" name="_..."之类的字段,所以应该是采用模板替换法做的,还采用了静态页面生成技术。
还有一点重大发现:这个网站存在SQL注入漏洞,一个简单例子,请看下面的网址:
http://www.workercn.cn/cn/ckjg.aspx?s_id=SURVEY3a57786e482c43da842052d828f391e3
再看一个:
http://www.workercn.cn/cn/ckjg.aspx?s_id=SURVEY3a57786e482c43da842052d828f391e3' or '1'='1
你会看到两个网址的效果一模一样,聪明的你也许明白什么了,但是,请记住我什么也没说!如果你还是不明白,请不要问我,我什么也不会说。由此造成的一切后果由操作者本人负责。
一点感叹:
这种做法做过ASP.NET开发两三年的开发人员都会做,两三个人两三个月就可以搞定670万,这种速度和抢银行差不多,可是这个是合法的,抢银行是要判刑的。
哪些兄弟有过这种命啊!周公稍稍看了一下就发现了SQL注入漏洞,不知道还存在哪些严重的安全漏洞!不过由于不愿意做违法的事情,所以周公没有继续尝试寻找其它漏洞。
本文出自 “周公的专栏” 博客,请务必保留此出处http://zhoufoxcn.blog.51cto.com/792419/268917