|
7月18日消息(记者唐明 实习记者高芳婧)据经济之声《天下公司》报道,时值暑假,扶不起的12306又被曝出存在安全漏洞。
在乌云漏洞平台上,一位匿名人士曝光12306漏洞称:“12306手机端APP 每次请求服务器都由手机调用数据库,根据传入的数据来生成一个加密字串用于提交服务器验证是否非法。目前这种算法已经泄露,以致可能会有人利用这种算法软件模拟手机端来非法囤积车票。
换句话说,黄牛破解漏洞以后,一个人就可以把整节车厢的票买下来。
对此,《天下公司》打电话向12306的客服进行求证,但是客服表示还没有听说这个消息。
12306:咱们现在还没有听说您说的这个事情,没有这个通知。
360的网络安全专家安扬表示12306客户端的算法泄漏,意味着“黄牛”可以用电脑软件,模拟多部手机多账号进行购票操作,黑客通过软件漏洞抢到大量的票,妨碍到了正常人购票。
安扬:12306的手机客户端它有一个限制就是同一台设备,同一个时间只能登陆一个账号,限制的方法是根据设备的ID和时间戳,经过一个算法算出校验值跟服务器验证,验证通过之后就可以进行操作。
因为算法没有做相关的保护,因而可以被黑客逆向出来,也可以被黑客直接拿来使用。也就是说黑客可以通过逆向的算法,在电脑上用软件来模拟多部手机、多个账号来登陆,以此来抢大量的票。本来应该属于其他人的票都被票贩子抢光了。
《天下公司》从一些技术博客上了解到,关于12306手机端算法的分析文章已发布超过半年时间,这些漏洞很可能被不法分子利用制作刷票插件,掠夺车票资源,正常用户在春运等高峰期购票会更加困难。
12306铁路购票系统这个花了几亿人民币建成的项目已经不是第一次出现这样的漏洞了,从2011年系统诞生到现在,三年左右的时间不断出现各种问题。之前就有熟知铁路退票流程的“黄牛”,用自己和亲友的身份证购买多张车票,物色到买主后再选择退票,并立即用买主身份证“秒杀刷票”,通过这种衔接极快的“一退一买”,火车票就顺利地从票贩子手中变成了旅客的车票。
不仅如此,因为12306网站并没有与公安系统联网,无法对身份证号等信息进行审核,因此12306网站无法检测身份信息真伪。所以在任何一种浏览器上,都可以用假身份证号码和任意编造的诸如“金刚葫芦娃”、“女神”等网名成功购票。
对于这些漏洞,网络安全专家安扬表示修复这些漏洞并不需要很大的成本。
安杨:漏洞的解决不需要太大的成本,因为只是需要更新一下客户端来修复漏洞,也就是更新一下算法,让票贩子大量囤积车票的手段失效。
其实12306也在做修复。此前,针对各种抢票软件频繁出现的情况,12306还推出了升级之后的动态验证码。结果却由于辨别难度偏高,用户体验不佳,被网民调侃像毕加索的抽象画。
网络安全专家安扬表示出现问题是在所难免的,但是就这次的问题来看,的确是12306的工作人员安全意识有些薄弱了。
安杨:12306也不可避免会出现这样的问题,但是仅就这个漏洞来判断,可能是开发人员的安全意识比较薄弱,因为他把算法放在库里没有进行任何保护,实际上还是需要不断强化安全意识,对产品做更严格的安全审计,然后再发布出来,这样可能会更好。
|
|