根據财政部網站的中标公告,功能并不複雜的中國工會網站擴建項目一期工程居然花了670萬元。這個網站已經被網友戲稱為史上最貴網站。
衆所周知,由于技術發展迅速,現在類似的内容網站的建站成本已經非常低,即使是重新開發所有功能,業内報價最多也就在幾十萬。事實上,記者随機采訪了幾位 專門從事網站開發的CSDN網友,估價基本在10萬以内,有的甚至說5萬甚至1萬也能幹。而這個一期工程中标公告中所列的項目,無非是最基本、技術難度不 大的網站改版、内容管理、站内檢索和統計分析。
記者注意到,這次中标的機關是中軟宏大公司。可是,這家公司以打造中國軟體第一品牌為口号,自稱專業從事軟體研發、系統內建的高新技術企業,自己的網站卻不遵守基本的Web技術标準。記者在流行的Chrome、Firefox等浏覽器裡打開的網頁都是一片混亂。
人們需要思考的,也許不是這個個案,而是這個網站真的是史上最貴的網站嗎?這種現象還有多少,又是什麼原因呢?
【更新】
很快有網友發現,孔子學院的網站中标價更是驚人,達到了3520萬!根據财政部網站上的中标公告,這個名為網絡孔子學院網站營運服務項目的采購項目,采購 人為國家漢辦(孔子學院總部),中标供應商為五洲漢風網絡科技(北京)有限公司。更意味深長的是,Google搜尋顯示,五洲漢風公司是國家漢辦的直屬公 司:原來如此!
==============================================================================================================
一點發現:
原來中國工會網站是用ASP.NET做的(見其中的一個連結:http://www.workercn.cn/cn/phb.aspx),不過頁面裡沒有 <input type="hidden" name="_..."之類的字段,是以應該是采用模闆替換法做的,還采用了靜态頁面生成技術。
還有一點重大發現:這個網站存在SQL注入漏洞,一個簡單例子,請看下面的網址:
<a href="http://www.workercn.cn/cn/ckjg.aspx?s_id=SURVEY3a57786e482c43da842052d828f391e3">http://www.workercn.cn/cn/ckjg.aspx?s_id=SURVEY3a57786e482c43da842052d828f391e3</a>
再看一個:
你會看到兩個網址的效果一模一樣,聰明的你也許明白什麼了,但是,請記住我什麼也沒說!如果你還是不明白,請不要問我,我什麼也不會說。<b>由此造成的一切後果由操作者本人負責。</b>
一點感歎:
這種做法做過ASP.NET開發兩三年的開發人員都會做,兩三個人兩三個月就可以搞定670萬,這種速度和搶銀行差不多,可是這個是合法的,搶銀行是要判刑的。
哪些兄弟有過這種命啊!周公稍稍看了一下就發現了SQL注入漏洞,不知道還存在哪些嚴重的安全漏洞!不過由于不願意做違法的事情,是以周公沒有繼續嘗試尋找其它漏洞。
本文轉自周金橋51CTO部落格,原文連結: http://blog.51cto.com/zhoufoxcn/268917,如需轉載請自行聯系原作者
![碼農隻是一碗青春飯,準程式員該怎麼規劃自己的職業生涯。[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)