Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
sarices
V2EX  ›  程序员

吐糟一下一些政府的平台

  •   
  •   sarices · Dec 30, 2013 · 5952 views
    This topic created in 4542 days ago, the information mentioned may be changed or developed.
    最近接到某政府机构的订单,要把原来用的一个软件,增加一个审核功能,软件没有源代码,有接口,但是调试过接口和软件用的接口不同,最后想出了用抓包看看,看看软件访问的是哪里。

    竟然访问的是一个WEBSERVICE,而且不走HTTPS,直接走HTTP,没有做任何验证,接口没有注释,软件应该是.net写的,反编译一下,竟然可以

    最后我用php重写了一次,加上了审核功能,虽然是webservice,但是接口提交的都是SQL语句,推测数据库应该是oracle,全国各个省份分了表。验证用户名密码接口的只是为了登录软件,其他接口都没要求提供帐号密码,没试过DEL,理论上应该可以把所有的数据删除。
  • 接口
  • 软件
  • 验证
    40 replies    2023-04-08 20:36:50 +08:00
    Admstor
        1
    Admstor  
       Dec 30, 2013
    反正都是临时工的错啦!
    qiuai
        2
    qiuai  
    PRO
       Dec 30, 2013
    政府机关的东西从来都是先把功能实现,其他的都不管,效率什么的自然会有其他人在撑不住了以后再接手去做.
    G2bN4dbX9J3ncp0r
        3
    G2bN4dbX9J3ncp0r  
       Dec 30, 2013
    有几个人敢删
    MC
        4
    MC  
       Dec 30, 2013
    这算是泄露国家机密了吗?吐槽完了你就成斯诺登了。。。楼主走好[蜡烛]
    julyclyde
        5
    julyclyde  
       Dec 30, 2013
    承包政府项目的都是一些很虚的企业,各种资质,各种项目成果
    其实用的都是毕业生里面最便宜的那种。等人实在穷得干不下去了再换下一届
    外包行业中最烂的企业就是做政府项目的
    anheiyouxia
        6
    anheiyouxia  
       Dec 30, 2013
    楼主,删了吧,这样很快大家就能看到:**地区黑客为检验自身能力入侵**政府服务器,并删除了所有数据。据悉该黑客利用公司职务之便,获取了**软件的源码,并在这些源码的基础上分析出了系统漏洞,最终利用了这些漏洞对**政府的服务器发起了攻击。
    sarices
        7
    sarices  
    OP
       Dec 30, 2013
    @anheiyouxia 系统走内网的,我要到政府机构里面调试的,全程有人在旁协助。
    kawaiiushio
        8
    kawaiiushio  
       Dec 30, 2013
    看看gov.cn 呵呵 web1.0
    cxe2v
        9
    cxe2v  
       Dec 30, 2013
    @julyclyde
    @qiuai
    两位,YY容易伤身哦
    sarices
        10
    sarices  
    OP
       Dec 30, 2013
    @julyclyde 是有转包的,但是没有那么严重,整个过程还是很严谨的,最近接的一个政府的投诉平台,要提交的材料有17份,基本上把整个源代码的注释了,目的是以后如果我们不维护了,还能交给其他公司维护,很多时候出的问题都是在需求不明确的情况发生的。
    gotounix
        11
    gotounix  
       Dec 30, 2013
    这个不是很正常嘛!做过政府项目的人都知道,时间都用于伺候领导去了。
    qiuai
        12
    qiuai  
    PRO
       Dec 30, 2013
    @cxe2v 不信就当我没说就是了
    hohomeil
        13
    hohomeil  
       Dec 30, 2013
    确实是这样。

    把实现功能做为最主要。另外一些所谓的招标,比较虚。
    yylzcom
        14
    yylzcom  
       Dec 30, 2013 via Android
    看各地情况了,总之做项目一半经费拿去搞关系的例子肯定是有的。有的会议参会者包括开车的司机,人手一个iPod, 唉,各种不会用,我一个一个去教
    bigzhu
        15
    bigzhu  
       Dec 30, 2013
    政府愿意做IT就算很不错了。如果能倒腾个能用的系统,那就更值得赞赏了。

    不管包不包,就算这个项目不包,还是有其他项目可以包的。。。做IT项目不至于把路挖开,再盖上,再挖开,再盖上......

    所以IT算好的了,不折腾人。至少不折腾老百姓。

    再说了,也要也实习生练手的机会嘛。
    mengzhuo
        16
    mengzhuo  
       Dec 30, 2013
    政府网站,呵呵呵……
    loading
        17
    loading  
       Dec 30, 2013
    上次有人联系要我帮忙,问我水平怎么样,说要求web 2.0,要div+css。
    我还不屑呢!!!
    tanyuxiang
        18
    tanyuxiang  
       Dec 30, 2013
    zf不是经常物理隔离两条线么 一条打斗地主 一条收公文
    dong3580
        19
    dong3580  
       Dec 30, 2013 via iPhone
    @anheiyouxia 你敢入侵和删除么,估计谁都没那个胆子,
    jianghu52
        20
    jianghu52  
       Dec 30, 2013
    我们公司有个项目一直保持一个记录。0 bug,100%好评。
    不懂的人都惊呆了。懂的人第一句就是,是不是政府的。
    ayang23
        21
    ayang23  
       Dec 30, 2013
    想当年还是做过一个被鉴定为国际先进的项目的,你懂得
    @jianghu52
    timothyye
        22
    timothyye  
       Dec 30, 2013 via Android
    这类网站,能拿到就是靠关系,至于做,就更有水分了。质量很难保证。之前那个工信部的备案网站不是奇丑无比么?
    Kvm
        23
    Kvm  
       Dec 30, 2013
    80%的人都不知道https这玩意有什么毛用
    momo5269
        24
    momo5269  
       Dec 30, 2013
    都这样 - - 录入时候就被外包的破网站折磨过 只支持IE8 身份证验证有问题 界面更新导致数据需要重录 用户界面不友好
    Lelouchcr
        25
    Lelouchcr  
       Dec 30, 2013
    http://www.chinatcc.gov.cn:8080/cms/shensus/
    我想说,我有次还查点在此zf网站上申诉。。。这port ,这icon ,不谈了。。。
    fox
        26
    fox  
       Dec 30, 2013
    @Lelouchcr 看到了熟悉的………………猫
    Ricepig
        27
    Ricepig  
       Dec 30, 2013
    我们有部分业务是这块,其实大部分政府还是认识到IT系统的重要,也分配了不少资源想把这一块做起来。总的来说,我个人把这类系统分成两种,一种是验收型,一种是使用型。验收型完全是拍脑袋决定上马,验收过了完全就没人去碰了。

    使用型的系统,一般来说最终都会做到能用,但是否好用就不一定了。其实也无需“呵呵”,实际上政府相关的系统能把功能做得满足他们要求是最终目标,安全性、性能、兼容性什么的,都是排在功能之后的。当你被奇葩功能折腾得死去活来时,很少会有精力再关注其他方面了。

    招标的要求其实并不虚,资质和业绩都是非常重要的。目前这种招标的方式,政府只能通过这些来了解对方公司有没有能力完成这个项目。其实类比到招聘上,你以前做过什么(业绩),你是哪里毕业的(资质)不都是招聘单位看重的重要的部分吗?怎么到了政府招标的时候就是“很虚”的东西呢?

    政府项目很多做不好,关系是一方面,另外一方面也和招标与验收机制相关。我们的团队正试图在这个“行业”做的和以前的公司稍有些不同吧。
    Ricepig
        28
    Ricepig  
       Dec 30, 2013
    另外,我再黑一下。

    “没试过DEL,理论上应该可以把所有的数据删除。”

    实际上很有可能删不掉,出现各种“约束错误”,哈哈哈哈
    danzwl
        29
    danzwl  
       Dec 30, 2013
    http://www.mos.gov.cn/ 大家看看这个网站啥水平
    learnshare
        30
    learnshare  
       Dec 30, 2013
    我觉得,能在宽屏下居中的网站都是好网站。
    wheatcc
        31
    wheatcc  
       Dec 30, 2013
    @fox 是啥程序?
    CRight
        32
    CRight  
       Dec 30, 2013 via Android
    不能用现成的CMS,还要考虑安全问题。拍板决定的又不懂,能建成网站就不错了。
    Narcissu5
        33
    Narcissu5  
       Dec 30, 2013
    做过政府的项目,两名开发人员伺候100多个工作人员。每个人都能提需求每个人都能给你脸色看,这种情况能把东西折腾出来就已经筋疲力尽了,安全性?我睡会儿先

    信息泄露的时候其实我还挺幸灾乐祸的,老大更强:这个问题我们找到了,是你们的问题,我们当然可以改,不过这个项目已经过了维护期了。。。。
    martinsu
        34
    martinsu  
       Dec 30, 2013
    为什么做不好的原因是什么。我是这样想的:

    项目验收的人是懂技术的,可能技术还不错的,但还是会把技术不过关的项目通过。
    因为项目的施工单位是领导决定的,有利益输送。

    所以就出现了这么多的破网站。
    verfino
        35
    verfino  
       Dec 30, 2013
    我想起了铁道部网站的那个证书......
    inet6
        36
    inet6  
       Dec 30, 2013
    如果中移动也算政府平台的话,我也吐槽一下, N年前西部某省中移动,项目需要接入路由器,我们问用户名密码,然后甲方一脸茫然,啥用户名密码? 路由器还有用户名密码? 然后他开始打电话给设备提供商,把人家臭骂了一顿说当初怎么不告知用户名密码... 然后我们拿到了123456的密码...
    gamexg
        37
    gamexg  
       Dec 31, 2013
    很正常,公安的办案系统在url里面加个' 直接把 sql 语句爆出来了。还好是内网的...
    anjianshi
        38
    anjianshi  
       Jan 3, 2014
    @wheatcuican Apache Tomcat
    moonmv
        39
    moonmv  
       Dec 24, 2014
    你懂的
    smallthing
        40
    smallthing  
       Apr 8, 2023 via iPhone
    @verfino 铁道部证书挺好的啊
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1037 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 101ms · UTC 23:04 · PVG 07:04 · LAX 16:04 · JFK 19:04
    ♥ Do have faith in what you're doing.