吐糟一下一些政府的平台

2013-12-30 10:24:03 +08:00
 sarices
最近接到某政府机构的订单,要把原来用的一个软件,增加一个审核功能,软件没有源代码,有接口,但是调试过接口和软件用的接口不同,最后想出了用抓包看看,看看软件访问的是哪里。

竟然访问的是一个WEBSERVICE,而且不走HTTPS,直接走HTTP,没有做任何验证,接口没有注释,软件应该是.net写的,反编译一下,竟然可以

最后我用php重写了一次,加上了审核功能,虽然是webservice,但是接口提交的都是SQL语句,推测数据库应该是oracle,全国各个省份分了表。验证用户名密码接口的只是为了登录软件,其他接口都没要求提供帐号密码,没试过DEL,理论上应该可以把所有的数据删除。
5206 次点击
所在节点    程序员
40 条回复
ayang23
2013-12-30 13:47:08 +08:00
想当年还是做过一个被鉴定为国际先进的项目的,你懂得
@jianghu52
timothyye
2013-12-30 14:52:31 +08:00
这类网站,能拿到就是靠关系,至于做,就更有水分了。质量很难保证。之前那个工信部的备案网站不是奇丑无比么?
Kvm
2013-12-30 16:41:20 +08:00
80%的人都不知道https这玩意有什么毛用
momo5269
2013-12-30 17:03:52 +08:00
都这样 - - 录入时候就被外包的破网站折磨过 只支持IE8 身份证验证有问题 界面更新导致数据需要重录 用户界面不友好
Lelouchcr
2013-12-30 17:09:17 +08:00
http://www.chinatcc.gov.cn:8080/cms/shensus/
我想说,我有次还查点在此zf网站上申诉。。。这port ,这icon ,不谈了。。。
fox
2013-12-30 17:11:59 +08:00
@Lelouchcr 看到了熟悉的………………猫
Ricepig
2013-12-30 17:14:06 +08:00
我们有部分业务是这块,其实大部分政府还是认识到IT系统的重要,也分配了不少资源想把这一块做起来。总的来说,我个人把这类系统分成两种,一种是验收型,一种是使用型。验收型完全是拍脑袋决定上马,验收过了完全就没人去碰了。

使用型的系统,一般来说最终都会做到能用,但是否好用就不一定了。其实也无需“呵呵”,实际上政府相关的系统能把功能做得满足他们要求是最终目标,安全性、性能、兼容性什么的,都是排在功能之后的。当你被奇葩功能折腾得死去活来时,很少会有精力再关注其他方面了。

招标的要求其实并不虚,资质和业绩都是非常重要的。目前这种招标的方式,政府只能通过这些来了解对方公司有没有能力完成这个项目。其实类比到招聘上,你以前做过什么(业绩),你是哪里毕业的(资质)不都是招聘单位看重的重要的部分吗?怎么到了政府招标的时候就是“很虚”的东西呢?

政府项目很多做不好,关系是一方面,另外一方面也和招标与验收机制相关。我们的团队正试图在这个“行业”做的和以前的公司稍有些不同吧。
Ricepig
2013-12-30 17:16:35 +08:00
另外,我再黑一下。

“没试过DEL,理论上应该可以把所有的数据删除。”

实际上很有可能删不掉,出现各种“约束错误”,哈哈哈哈
danzwl
2013-12-30 17:34:48 +08:00
http://www.mos.gov.cn/ 大家看看这个网站啥水平
learnshare
2013-12-30 17:45:08 +08:00
我觉得,能在宽屏下居中的网站都是好网站。
wheatcuican
2013-12-30 17:50:33 +08:00
@fox 是啥程序?
CRight
2013-12-30 17:53:58 +08:00
不能用现成的CMS,还要考虑安全问题。拍板决定的又不懂,能建成网站就不错了。
Narcissu5
2013-12-30 17:57:17 +08:00
做过政府的项目,两名开发人员伺候100多个工作人员。每个人都能提需求每个人都能给你脸色看,这种情况能把东西折腾出来就已经筋疲力尽了,安全性?我睡会儿先

信息泄露的时候其实我还挺幸灾乐祸的,老大更强:这个问题我们找到了,是你们的问题,我们当然可以改,不过这个项目已经过了维护期了。。。。
martinsu
2013-12-30 18:30:20 +08:00
为什么做不好的原因是什么。我是这样想的:

项目验收的人是懂技术的,可能技术还不错的,但还是会把技术不过关的项目通过。
因为项目的施工单位是领导决定的,有利益输送。

所以就出现了这么多的破网站。
verfino
2013-12-30 19:54:07 +08:00
我想起了铁道部网站的那个证书......
inet6
2013-12-30 20:09:50 +08:00
如果中移动也算政府平台的话,我也吐槽一下, N年前西部某省中移动,项目需要接入路由器,我们问用户名密码,然后甲方一脸茫然,啥用户名密码? 路由器还有用户名密码? 然后他开始打电话给设备提供商,把人家臭骂了一顿说当初怎么不告知用户名密码... 然后我们拿到了123456的密码...
gamexg
2013-12-31 12:24:53 +08:00
很正常,公安的办案系统在url里面加个' 直接把 sql 语句爆出来了。还好是内网的...
anjianshi
2014-01-03 08:13:41 +08:00
@wheatcuican Apache Tomcat
moonmv
2014-12-24 18:58:52 +08:00
你懂的
smallthing
2023-04-08 20:36:50 +08:00
@verfino 铁道部证书挺好的啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/95004

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX