價值670萬人民幣的天價政府網站居然存在SQL注入漏洞

根據財政部網站的中標公告，功能并不復雜的中國工會網站擴建項目一期工程居然花了670萬元。這個網站已經被網友戲稱為史上最貴網站。
 
眾所周知，由于技術發展迅速，現在類似的內容網站的建站成本已經非常低，即使是重新開發所有功能，業內報價最多也就在幾十萬。事實上，記者隨機采訪了幾位專門從事網站開發的CSDN網友，估價基本在10萬以內，有的甚至說5萬甚至1萬也能干。而這個一期工程中標公告中所列的項目，無非是最基本、技術難度不大的網站改版、內容管理、站內檢索和統計分析。

記者注意到，這次中標的單位是中軟宏大公司�？墒�，這家公司以打造中國軟件第一品牌為口號，自稱專業從事軟件研發、系統集成的高新技術企業，自己的網站卻不遵守基本的Web技術標準。記者在流行的Chrome、Firefox等瀏覽器里打開的網頁都是一片混亂。
 
人們需要思考的，也許不是這個個案，而是這個網站真的是史上最貴的網站嗎？這種現象還有多少，又是什么原因呢？

【更新】

很快有網友發現，孔子學院的網站中標價更是驚人，達到了3520萬！根據財政部網站上的中標公告，這個名為網絡孔子學院網站運營服務項目的采購項目，采購人為國家漢辦（孔子學院總部），中標供應商為五洲漢風網絡科技（北京）有限公司。更意味深長的是，Google搜索顯示，五洲漢風公司是國家漢辦的直屬公司：原來如此！
==============================================================================================================
一點發現：
原來中國工會網站是用ASP.NET做的（見其中的一個鏈接：http://www.workercn.cn/cn/phb.aspx)，不過頁面里沒有 <input type="hidden" name="_..."之類的字段，所以應該是采用模板替換法做的，還采用了靜態頁面生成技術。

還有一點重大發現：這個網站存在SQL注入漏洞，一個簡單例子，請看下面的網址：

http://www.workercn.cn/cn/ckjg.aspx?s_id=SURVEY3a57786e482c43da842052d828f391e3
再看一個：
or '1'='1
你會看到兩個網址的效果一模一樣，聰明的你也許明白什么了，但是，請記住我什么也沒說！如果你還是不明白，請不要問我，我什么也不會說。由此造成的一切后果由操作者本人負責。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 人民幣 政府網站