吐糟一下一些政府的平台

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3980 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近接到某政府机构的订单，要把原来用的一个软件，增加一个审核功能，软件没有源代码，有接口，但是调试过接口和软件用的接口不同，最后想出了用抓包看看，看看软件访问的是哪里。

竟然访问的是一个WEBSERVICE，而且不走HTTPS，直接走HTTP，没有做任何验证，接口没有注释，软件应该是.net写的，反编译一下，竟然可以

最后我用php重写了一次，加上了审核功能，虽然是webservice，但是接口提交的都是SQL语句，推测数据库应该是oracle，全国各个省份分了表。验证用户名密码接口的只是为了登录软件，其他接口都没要求提供帐号密码，没试过DEL，理论上应该可以把所有的数据删除。

接口

软件

验证

40 条回复 • 2023-04-08 20:36:50 +08:00

Admstor

2013-12-30 10:35:38 +08:00

反正都是临时工的错啦!

qiuai

2013-12-30 10:38:24 +08:00

政府机关的东西从来都是先把功能实现,其他的都不管,效率什么的自然会有其他人在撑不住了以后再接手去做.

lidashuang

2013-12-30 10:39:02 +08:00

有几个人敢删

2013-12-30 10:41:55 +08:00

这算是泄露国家机密了吗？吐槽完了你就成斯诺登了。。。楼主走好[蜡烛]

julyclyde

2013-12-30 10:45:22 +08:00

承包政府项目的都是一些很虚的企业，各种资质，各种项目成果
其实用的都是毕业生里面最便宜的那种。等人实在穷得干不下去了再换下一届
外包行业中最烂的企业就是做政府项目的

anheiyouxia

2013-12-30 10:46:29 +08:00

楼主，删了吧，这样很快大家就能看到：**地区黑客为检验自身能力入侵**政府服务器，并删除了所有数据。据悉该黑客利用公司职务之便，获取了**软件的源码，并在这些源码的基础上分析出了系统漏洞，最终利用了这些漏洞对**政府的服务器发起了攻击。

sarices

2013-12-30 10:49:41 +08:00

@anheiyouxia 系统走内网的，我要到政府机构里面调试的，全程有人在旁协助。

kawaiiushio

2013-12-30 10:59:50 +08:00

看看gov.cn 呵呵 web1.0

cxe2v

2013-12-30 11:04:16 +08:00

@julyclyde
@qiuai
两位，YY容易伤身哦

sarices

2013-12-30 11:12:01 +08:00

@julyclyde 是有转包的，但是没有那么严重，整个过程还是很严谨的，最近接的一个政府的投诉平台，要提交的材料有17份，基本上把整个源代码的注释了，目的是以后如果我们不维护了，还能交给其他公司维护，很多时候出的问题都是在需求不明确的情况发生的。

gotounix

2013-12-30 11:25:56 +08:00

这个不是很正常嘛！做过政府项目的人都知道，时间都用于伺候领导去了。

qiuai

2013-12-30 11:27:05 +08:00

@cxe2v 不信就当我没说就是了

hohomeil

2013-12-30 11:39:34 +08:00

确实是这样。

把实现功能做为最主要。另外一些所谓的招标，比较虚。

yylzcom

2013-12-30 11:40:43 +08:00 via Android

看各地情况了，总之做项目一半经费拿去搞关系的例子肯定是有的。有的会议参会者包括开车的司机，人手一个iPod, 唉，各种不会用，我一个一个去教

bigzhu

2013-12-30 13:02:58 +08:00

政府愿意做IT就算很不错了。如果能倒腾个能用的系统，那就更值得赞赏了。

不管包不包，就算这个项目不包，还是有其他项目可以包的。。。做IT项目不至于把路挖开，再盖上，再挖开，再盖上......

所以IT算好的了，不折腾人。至少不折腾老百姓。

再说了，也要也实习生练手的机会嘛。

mengzhuo

2013-12-30 13:18:57 +08:00

政府网站，呵呵呵……

loading

2013-12-30 13:22:38 +08:00

上次有人联系要我帮忙，问我水平怎么样，说要求web 2.0，要div+css。
我还不屑呢！！！

tanyuxiang

2013-12-30 13:27:08 +08:00

zf不是经常物理隔离两条线么一条打斗地主一条收公文

dong3580

2013-12-30 13:37:43 +08:00 via iPhone

@anheiyouxia 你敢入侵和删除么,估计谁都没那个胆子,

jianghu52

2013-12-30 13:42:51 +08:00

我们公司有个项目一直保持一个记录。0 bug，100%好评。
不懂的人都惊呆了。懂的人第一句就是，是不是政府的。

ayang23

2013-12-30 13:47:08 +08:00

想当年还是做过一个被鉴定为国际先进的项目的，你懂得
@jianghu52

timothyye

2013-12-30 14:52:31 +08:00 via Android

这类网站，能拿到就是靠关系，至于做，就更有水分了。质量很难保证。之前那个工信部的备案网站不是奇丑无比么？

Kvm

2013-12-30 16:41:20 +08:00

80%的人都不知道https这玩意有什么毛用

momo5269

2013-12-30 17:03:52 +08:00

都这样 - - 录入时候就被外包的破网站折磨过只支持IE8 身份证验证有问题界面更新导致数据需要重录用户界面不友好

Lelouchcr

2013-12-30 17:09:17 +08:00

http://www.chinatcc.gov.cn:8080/cms/shensus/
我想说，我有次还查点在此zf网站上申诉。。。这port ，这icon ，不谈了。。。

fox

2013-12-30 17:11:59 +08:00

@Lelouchcr 看到了熟悉的………………猫

Ricepig

2013-12-30 17:14:06 +08:00

我们有部分业务是这块，其实大部分政府还是认识到IT系统的重要，也分配了不少资源想把这一块做起来。总的来说，我个人把这类系统分成两种，一种是验收型，一种是使用型。验收型完全是拍脑袋决定上马，验收过了完全就没人去碰了。

使用型的系统，一般来说最终都会做到能用，但是否好用就不一定了。其实也无需“呵呵”，实际上政府相关的系统能把功能做得满足他们要求是最终目标，安全性、性能、兼容性什么的，都是排在功能之后的。当你被奇葩功能折腾得死去活来时，很少会有精力再关注其他方面了。

招标的要求其实并不虚，资质和业绩都是非常重要的。目前这种招标的方式，政府只能通过这些来了解对方公司有没有能力完成这个项目。其实类比到招聘上，你以前做过什么（业绩），你是哪里毕业的（资质）不都是招聘单位看重的重要的部分吗？怎么到了政府招标的时候就是“很虚”的东西呢？

政府项目很多做不好，关系是一方面，另外一方面也和招标与验收机制相关。我们的团队正试图在这个“行业”做的和以前的公司稍有些不同吧。

Ricepig

2013-12-30 17:16:35 +08:00

另外，我再黑一下。

“没试过DEL，理论上应该可以把所有的数据删除。”

实际上很有可能删不掉，出现各种“约束错误”，哈哈哈哈