심문 12306 III: 취약점 정보를 사용자의 수백만의 수백 밖으로 누출 수 있습니다

중간 거래 SEO 진단 Taobao 게스트 클라우드 호스트 기술 홀

9 월 28 일 저녁 뉴스, 지난 밤 네트워크 노출 12306 다른 더 심각한 문제가 발견, 그것은 심각한 보안 취약점, 사용자 정보를 공개할 수 있으며 다른 사람들이 사용자의 이름 및 예약, 환불 및 기타 작업에 대 한 암호를 수정할 수 있습니다. 이, Sohu에 산업 보안 전문가 방문. 12306 노출 문제의 분석을 통해 전문가 말했다 적시 업그레이드 연결, 사용자 정보 수 천억 유출 될 수 있습니다 하지 않는 경우 12306 웹 사이트 보안에는 매우 심각한 수준에 도달 했습니다.

Sohu It 독점 해부학 12306 웹사이트 구조 차트

누출 단지는 빙산의 일각 이다.

네트워크에 12306 노출 노출 보안 취약점, Sohu 그것은 네트워크 보안 전문가, 보안 바오 CEO Majnoon을 방문 했다. Majnoon의 안전에 경험 10 년 이상으로 상승 회사의 기술 엔지니어 했다.

네트워크 보안 전문가, 안전 보물 CEO Majnoon

Majnoon 말했다 Sohu 그것, "네트워크 노출된 허점, 또는 보다 일반적인 취약점, 가장 심각한 취약점을 있다 그들의 전체 데이터베이스 보안에 영향을 미칠 수 있습니다, 구입한 티켓 사용자, 정보는 누설의 특정 위험." "

네티즌 또는 책임 있는 태도, 허점, 흰색 더러워진 단어와 스크린샷의 부분 공개만 더 많은 사용자 정보를 공개 하지 않았다. Majnoon 분석, 산업 및 상업, 과세, 공공 보안 및 기타 정보 시스템에 비해 12306 또한 수만 사람들, 관련 된 매우 중요 한 사이트, 하지만 보안은 여전히 상대적으로 가난한. 더 수석 보안 전문가 더 강력한 해커는 데이터베이스에 액세스할 수 있습니다. "아무 권한 부여, 불편 한 액세스 정보를 사용자의 많은 수를 포함할 수 있습니다."

"우리는 다 사이트 보안 테스트, 90% 웹 사이트 보안 취약점, 20-30%는 심각한 보안 취약점." 12306 도달한 가장 심각한 수준! " 기술자로 서, 그는 왔습니다 주변에 구멍을 많이 Majnoon 했다. 만약 그가 그렇게 할 권한이 또는 그 자리에서 미디어 그의 문제의 논증을 줄 수 있습니다.

이전에 마이크로 보 스크린샷 12306 (예: 그림), 사이트의 내부 코드의 많은 수의 침 슬롯의 사용자에 의해. Majnoon 분석이 코드, 주에 비해 느린 웹 사이트의 원인 중 하나입니다 했다. 때문에 "처럼, %"와 유사한 다른 기술 언어는 일종의 유사 항목 일치, 비효율적이 고, 일반 웹 사이트를이 일치 가능한 한 조금. "그리고 네티즌 쉽게 갈 수 있는, 그것의 보안을 설명 하는 측면에서 캡처 충분 하지 않습니다." "

마이크로 보 노출 12306 사이트 내부 코드 화면

12306는 "Sutaibani" 일 수 있었다

라는 이름을 거부, 누가 웹사이트의 부사장 말했다 사이트의 아키텍처, 그것 미 숙 웹 사이트, 처음에 "내부 사용" 수십억 방문 지원 하기 어려운으로 잉태 했다.

이것은 이전 "처럼, %" 보고, 그리고 다른 기술 언어를 유출 하는 코드에서 적은 있을 것입니다 수백만 사이트 사용, 보다 기술적인 직원의 약간의 기술적인 지식 같은 낮은 수준의 언어를 사용 하지 것 이다.

이 점에서 Majnoon 동일한 보기를 표명 했다. 그는 믿고 12306 같은 웹사이트 30-40 명, 기술 팀 있어야 하 고 그들은 연구 및 개발의 여러 수준에서와 야 한다. 그것의 현재 사이트 보안 관점에서 그것은 거기 안 된다는 기술적인 인원의 이렇게 많은 다른 레벨을 추측.

"헬멧" 정보 보안을 무시 해서는 안됩니다.

2011 년는 CSDN, Tianya, Renren 및 정보 누출, Pu FA, Everbright 은행, ICBC, Taobao, Jingdong 몰 및 기타 정보 누출의 공개에서 2012 3.15 파티의 다른 사용자의 끝에서 알람 종소리! 정보 보안 모두의 신경을 건드리면. 그러나, 사용자의 정보의 수십억의 12306는 그래서 전문가 들은 걱정 취약 합니다.

그러나,이 12306 네트워크 허점은 다시 사람들이 Khanyi 하자. "더블 섹션", 표시 되지 것입니다 개인 정보 유출 기차로? 경우 12306 즉시 고쳐야 하지 않습니다, 그것은 끝 없는 될 수 있습니다. 그것은 말했다 Sohu에 보안 전문가입니다.

사실, 사역의 철도 300 백만 입찰 및 시스템 업그레이드의 큰 의심이 발생 했습니다. Sohu 그것 Majnoon 입찰 프로젝트 보안 업체 포함 여부는 확실 하지 않습니다 말했다. "Taiji는 좋은 소프트웨어 통합 한다 수집이 측면에서 재능 있는 사람, 응답에." Majnoon는 말했다, 방화벽을 통해 난 두려워의 제한 된 용량 때문에 관련 된 데이터의 양이 매우 큰, 난 두려워 하는 경우 여유가 없습니다. 열 하는 경우 "안전"의 시스템 ' 블랙 박스 ' (경계) 보안 자유롭다. "

어떻게 철도의 부 작동 합니까 12306 시스템 300 백만 큰 입찰 후? Majnoon는 우리가 해야 하지 대상 철도 내각 모든 산업 같은 상황에 직면 하 고 있기 때문에. 그러나 ", 웹사이트의 운영 책임자는 작업을 할 수 있어야 하므로 사람들이 사물의 안전에 대 한 책임의 안전." "Majnoon 말했다.