仲介交易 SEO診斷 淘寶客 雲主機 技術大廳
9月28日晚間消息,昨晚網路曝出12306又一更嚴重問題被發現,其存在嚴重安全性漏洞,有可能洩露使用者資訊,並且其他人可以通過該漏洞任意修改使用者名和密碼,進行訂票、退票等操作。 對此,搜狐IT走訪行業安全方面的專家。 通過對12306暴露出問題進行分析,專家稱 12306網站安全隱患已經達到非常嚴重的級別,如果不及時升級封堵,上億使用者資訊可能外泄。
搜狐IT獨家解剖12306網站結構圖
曝出來的漏洞僅是冰山一角
針對網路曝出12306曝出安全性漏洞,搜狐IT走訪了網路安全專家、安全寶CEO馬傑。 馬傑曾經是瑞星公司技術工程師,擁有10餘年的安全方面經驗。
網路安全專家、安全寶CEO馬傑
馬傑告訴搜狐IT說,「網路已曝出來的漏洞,還是比較一般的漏洞,還有最嚴重的漏洞,可以影響到它們整個資料庫的安全,對已購買過票的使用者,資訊有一定的外泄風險。 」
線民還是比較負責的態度,僅公開了其中一部分漏洞,白墨黑字和截圖,卻沒有洩露更多的使用者資訊。 馬傑分析稱,相比工商、稅務、公安等資訊系統來說,12306也是一個非常重要的網站,關係到數以萬計的民眾,但是,其安全性還是比較差。 比較資深的安全專家和比較厲害的駭客,可以進入資料庫。 「沒有授權,不方便進入,可能牽涉到大量的使用者資訊」。
「我們做過網站安全測試,90%網站存在安全性漏洞,其中20-30%存在嚴重安全性漏洞。 12306已達到最嚴重級別!」 馬傑說,作為一名技術人員,他從週邊已經看到諸多漏洞。 如果擁有相關機構授權,或者他可以當場給媒體演示其存在的問題。
此前,微博截圖12306網站內部代碼(如圖),遭到大量線民的吐槽。 馬傑分析說,這些代碼,比較初級,是造成網站慢原因的之一。 因為類似「like、%」等的技術語言,是一種模糊比對,效率極其低下,一般的網站儘量少用這種匹配。 「而線民能夠輕而易舉進去,從容截圖,從側面說明了其安全性不夠。 」
微博曝光12306網站內部代碼截圖
12306可能是一個「草台班子」
一位不願透露姓名團購網站副總裁分析稱,從這個網站的架構看,完全是一個不成熟的網站,最初設想也可能是「內部使用」,難以支撐上億級別的訪問量。
從外泄的代碼看,「like、%」等的技術語言,這是以前將就訪問量低於百萬級別網站使用,稍微有技術常識的技術人員,不會使用這樣的低階語言。
對此,馬傑表示了同樣的看法。 他認為,類似12306這樣的網站,應該有一個30-40人的技術團隊,而且,還要來自不同的層面研發。 從目前其網站安全形度看,它猜測應該沒有這麼多不同層次水準的技術人員。
「標書」不應忽視資訊安全
2011年底發生的CSDN、天涯、人人網等使用者資訊洩密事件,2012年3.15晚會中披露的浦發銀行、光大銀行、工商銀行、淘寶、京東商城等資訊洩密,警鐘長鳴!資訊安全觸及著每一個人的神經。 然而,涉及到上億使用者資訊的12306卻如此不堪一擊,讓專家們為之擔憂。
但是,這次12306網的漏洞又讓人們捏一把汗。 「雙節」過後,會不會出現乘坐火車的個人資訊外泄?如果12306不立即亡羊補牢,可能會後患無窮。 一位安全領域專家對搜狐IT表示。
其實,此前鐵道部3億的招標升級系統引發了較大質疑。 馬傑對搜狐IT表示,尚不清楚招標專案中有沒有包括安全廠商。 「太極是一家優秀的軟體集成商,應聚集這方面的人才,進行應對。 」馬傑說,如果通過一個防火牆的,恐怕能力有限,因為涉及資料量非常大,恐怕承受不了。 如果鐵道部願意系統開放,「安全寶公司可免費為其做‘黑盒’(週邊)安全保障。 」
對於3億巨額招標之後,鐵道部到底該如何運作12306系統?馬傑認為,大家不應該將矛頭對準鐵道部,因為每個行業面臨的現狀都差不多。 「不過,應該讓負責網站運維的人,去做運維的事情,讓負責安全的人去做安全的事情。 」馬傑說。