V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sarices
V2EX  ›  程序员

吐糟一下一些政府的平台

  •  
  •   sarices · 2013-12-30 10:24:03 +08:00 · 5185 次点击
    这是一个创建于 3972 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近接到某政府机构的订单,要把原来用的一个软件,增加一个审核功能,软件没有源代码,有接口,但是调试过接口和软件用的接口不同,最后想出了用抓包看看,看看软件访问的是哪里。

    竟然访问的是一个WEBSERVICE,而且不走HTTPS,直接走HTTP,没有做任何验证,接口没有注释,软件应该是.net写的,反编译一下,竟然可以

    最后我用php重写了一次,加上了审核功能,虽然是webservice,但是接口提交的都是SQL语句,推测数据库应该是oracle,全国各个省份分了表。验证用户名密码接口的只是为了登录软件,其他接口都没要求提供帐号密码,没试过DEL,理论上应该可以把所有的数据删除。
    40 条回复    2023-04-08 20:36:50 +08:00
    Admstor
        1
    Admstor  
       2013-12-30 10:35:38 +08:00
    反正都是临时工的错啦!
    qiuai
        2
    qiuai  
       2013-12-30 10:38:24 +08:00
    政府机关的东西从来都是先把功能实现,其他的都不管,效率什么的自然会有其他人在撑不住了以后再接手去做.
    lidashuang
        3
    lidashuang  
       2013-12-30 10:39:02 +08:00
    有几个人敢删
    MC
        4
    MC  
       2013-12-30 10:41:55 +08:00
    这算是泄露国家机密了吗?吐槽完了你就成斯诺登了。。。楼主走好[蜡烛]
    julyclyde
        5
    julyclyde  
       2013-12-30 10:45:22 +08:00
    承包政府项目的都是一些很虚的企业,各种资质,各种项目成果
    其实用的都是毕业生里面最便宜的那种。等人实在穷得干不下去了再换下一届
    外包行业中最烂的企业就是做政府项目的
    anheiyouxia
        6
    anheiyouxia  
       2013-12-30 10:46:29 +08:00
    楼主,删了吧,这样很快大家就能看到:**地区黑客为检验自身能力入侵**政府服务器,并删除了所有数据。据悉该黑客利用公司职务之便,获取了**软件的源码,并在这些源码的基础上分析出了系统漏洞,最终利用了这些漏洞对**政府的服务器发起了攻击。
    sarices
        7
    sarices  
    OP
       2013-12-30 10:49:41 +08:00
    @anheiyouxia 系统走内网的,我要到政府机构里面调试的,全程有人在旁协助。
    kawaiiushio
        8
    kawaiiushio  
       2013-12-30 10:59:50 +08:00
    看看gov.cn 呵呵 web1.0
    cxe2v
        9
    cxe2v  
       2013-12-30 11:04:16 +08:00
    @julyclyde
    @qiuai
    两位,YY容易伤身哦
    sarices
        10
    sarices  
    OP
       2013-12-30 11:12:01 +08:00
    @julyclyde 是有转包的,但是没有那么严重,整个过程还是很严谨的,最近接的一个政府的投诉平台,要提交的材料有17份,基本上把整个源代码的注释了,目的是以后如果我们不维护了,还能交给其他公司维护,很多时候出的问题都是在需求不明确的情况发生的。
    gotounix
        11
    gotounix  
       2013-12-30 11:25:56 +08:00
    这个不是很正常嘛!做过政府项目的人都知道,时间都用于伺候领导去了。
    qiuai
        12
    qiuai  
       2013-12-30 11:27:05 +08:00
    @cxe2v 不信就当我没说就是了
    hohomeil
        13
    hohomeil  
       2013-12-30 11:39:34 +08:00
    确实是这样。

    把实现功能做为最主要。另外一些所谓的招标,比较虚。
    yylzcom
        14
    yylzcom  
       2013-12-30 11:40:43 +08:00 via Android
    看各地情况了,总之做项目一半经费拿去搞关系的例子肯定是有的。有的会议参会者包括开车的司机,人手一个iPod, 唉,各种不会用,我一个一个去教
    bigzhu
        15
    bigzhu  
       2013-12-30 13:02:58 +08:00
    政府愿意做IT就算很不错了。如果能倒腾个能用的系统,那就更值得赞赏了。

    不管包不包,就算这个项目不包,还是有其他项目可以包的。。。做IT项目不至于把路挖开,再盖上,再挖开,再盖上......

    所以IT算好的了,不折腾人。至少不折腾老百姓。

    再说了,也要也实习生练手的机会嘛。
    mengzhuo
        16
    mengzhuo  
       2013-12-30 13:18:57 +08:00
    政府网站,呵呵呵……
    loading
        17
    loading  
       2013-12-30 13:22:38 +08:00
    上次有人联系要我帮忙,问我水平怎么样,说要求web 2.0,要div+css。
    我还不屑呢!!!
    tanyuxiang
        18
    tanyuxiang  
       2013-12-30 13:27:08 +08:00
    zf不是经常物理隔离两条线么 一条打斗地主 一条收公文
    dong3580
        19
    dong3580  
       2013-12-30 13:37:43 +08:00 via iPhone
    @anheiyouxia 你敢入侵和删除么,估计谁都没那个胆子,
    jianghu52
        20
    jianghu52  
       2013-12-30 13:42:51 +08:00
    我们公司有个项目一直保持一个记录。0 bug,100%好评。
    不懂的人都惊呆了。懂的人第一句就是,是不是政府的。
    ayang23
        21
    ayang23  
       2013-12-30 13:47:08 +08:00
    想当年还是做过一个被鉴定为国际先进的项目的,你懂得
    @jianghu52
    timothyye
        22
    timothyye  
       2013-12-30 14:52:31 +08:00 via Android
    这类网站,能拿到就是靠关系,至于做,就更有水分了。质量很难保证。之前那个工信部的备案网站不是奇丑无比么?
    Kvm
        23
    Kvm  
       2013-12-30 16:41:20 +08:00
    80%的人都不知道https这玩意有什么毛用
    momo5269
        24
    momo5269  
       2013-12-30 17:03:52 +08:00
    都这样 - - 录入时候就被外包的破网站折磨过 只支持IE8 身份证验证有问题 界面更新导致数据需要重录 用户界面不友好
    Lelouchcr
        25
    Lelouchcr  
       2013-12-30 17:09:17 +08:00
    http://www.chinatcc.gov.cn:8080/cms/shensus/
    我想说,我有次还查点在此zf网站上申诉。。。这port ,这icon ,不谈了。。。
    fox
        26
    fox  
       2013-12-30 17:11:59 +08:00
    @Lelouchcr 看到了熟悉的………………猫
    Ricepig
        27
    Ricepig  
       2013-12-30 17:14:06 +08:00
    我们有部分业务是这块,其实大部分政府还是认识到IT系统的重要,也分配了不少资源想把这一块做起来。总的来说,我个人把这类系统分成两种,一种是验收型,一种是使用型。验收型完全是拍脑袋决定上马,验收过了完全就没人去碰了。

    使用型的系统,一般来说最终都会做到能用,但是否好用就不一定了。其实也无需“呵呵”,实际上政府相关的系统能把功能做得满足他们要求是最终目标,安全性、性能、兼容性什么的,都是排在功能之后的。当你被奇葩功能折腾得死去活来时,很少会有精力再关注其他方面了。

    招标的要求其实并不虚,资质和业绩都是非常重要的。目前这种招标的方式,政府只能通过这些来了解对方公司有没有能力完成这个项目。其实类比到招聘上,你以前做过什么(业绩),你是哪里毕业的(资质)不都是招聘单位看重的重要的部分吗?怎么到了政府招标的时候就是“很虚”的东西呢?

    政府项目很多做不好,关系是一方面,另外一方面也和招标与验收机制相关。我们的团队正试图在这个“行业”做的和以前的公司稍有些不同吧。
    Ricepig
        28
    Ricepig  
       2013-12-30 17:16:35 +08:00
    另外,我再黑一下。

    “没试过DEL,理论上应该可以把所有的数据删除。”

    实际上很有可能删不掉,出现各种“约束错误”,哈哈哈哈
    danzwl
        29
    danzwl  
       2013-12-30 17:34:48 +08:00
    http://www.mos.gov.cn/ 大家看看这个网站啥水平
    learnshare
        30
    learnshare  
       2013-12-30 17:45:08 +08:00
    我觉得,能在宽屏下居中的网站都是好网站。
    wheatcuican
        31
    wheatcuican  
       2013-12-30 17:50:33 +08:00
    @fox 是啥程序?
    CRight
        32
    CRight  
       2013-12-30 17:53:58 +08:00 via Android
    不能用现成的CMS,还要考虑安全问题。拍板决定的又不懂,能建成网站就不错了。
    Narcissu5
        33
    Narcissu5  
       2013-12-30 17:57:17 +08:00
    做过政府的项目,两名开发人员伺候100多个工作人员。每个人都能提需求每个人都能给你脸色看,这种情况能把东西折腾出来就已经筋疲力尽了,安全性?我睡会儿先

    信息泄露的时候其实我还挺幸灾乐祸的,老大更强:这个问题我们找到了,是你们的问题,我们当然可以改,不过这个项目已经过了维护期了。。。。
    martinsu
        34
    martinsu  
       2013-12-30 18:30:20 +08:00
    为什么做不好的原因是什么。我是这样想的:

    项目验收的人是懂技术的,可能技术还不错的,但还是会把技术不过关的项目通过。
    因为项目的施工单位是领导决定的,有利益输送。

    所以就出现了这么多的破网站。
    verfino
        35
    verfino  
       2013-12-30 19:54:07 +08:00
    我想起了铁道部网站的那个证书......
    inet6
        36
    inet6  
       2013-12-30 20:09:50 +08:00
    如果中移动也算政府平台的话,我也吐槽一下, N年前西部某省中移动,项目需要接入路由器,我们问用户名密码,然后甲方一脸茫然,啥用户名密码? 路由器还有用户名密码? 然后他开始打电话给设备提供商,把人家臭骂了一顿说当初怎么不告知用户名密码... 然后我们拿到了123456的密码...
    gamexg
        37
    gamexg  
       2013-12-31 12:24:53 +08:00
    很正常,公安的办案系统在url里面加个' 直接把 sql 语句爆出来了。还好是内网的...
    anjianshi
        38
    anjianshi  
       2014-01-03 08:13:41 +08:00
    @wheatcuican Apache Tomcat
    moonmv
        39
    moonmv  
       2014-12-24 18:58:52 +08:00
    你懂的
    smallthing
        40
    smallthing  
       2023-04-08 20:36:50 +08:00 via iPhone
    @verfino 铁道部证书挺好的啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2131 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:14 · PVG 00:14 · LAX 08:14 · JFK 11:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.