中共问诊12306之三:漏洞大 数亿用户信息可能外泄市委、问诊12306之三:漏洞大 数亿用户信息可能外泄市人民政府指定新闻发布平台
 
设为首页  |   加为收藏
首 页 | 要闻 | 教育文化 | 镇街巡礼 | 部门之窗 | 企业风采 | 房产资讯 | 供求信息 | 旅游
投 稿 | 民声在线 | 视频 | 图说 | 汽车广场 | 健康资讯 | 凤城美食 | 博客推荐 | 军事
首页 >> >> 正文

问诊12306之三:漏洞大 数亿用户信息可能外泄

问诊12306之三:漏洞大 数亿用户信息可能外泄 9月28日晚间消息,昨晚网络曝出12306又一更严重问题被发现,其存在严重安全漏洞,有可能泄露用户信息,并且其他人可以通过该漏洞任意修改用户名和密码,进行订票、退票等操作。对此,搜狐IT走访行业安全方面的专家。通过对12306暴露出问题进行分析,专家称 12306网站安全隐患已经达到非常严重的级别,如果不及时升级封堵,上亿用户信息可能外泄。 搜狐IT独家解剖12306网站结构图 曝出来的漏洞仅是冰山一角 针对网络曝出12306曝出安全漏洞,搜狐IT走访了网络安全专家、安全宝CEO马杰。马杰曾经是瑞星公司技术工程师,拥有10余年的安全方面经验。 网络安全专家、安全宝CEO马杰 马杰告诉搜狐IT说,网络已曝出来的漏洞,还是比较一般的漏洞,还有最严重的漏洞,可以影响到它们整个数据库的安全,对已购买过票的用户,信息有一定的外泄风险。 网民还是比较负责的态度,仅公开了其中一部分漏洞,白墨黑字和截图,却没有泄露更多的用户信息。马杰分析称,相比工商、税务、公安等信息系统来说,12306也是一个非常重要的网站,关系到数以万计的民众,但是,其安全性还是比较差。比较资深的安全专家和比较厉害的黑客,可以进入数据库。没有授权,不方便进入,可能牵涉到大量的用户信息。 我们做过网站安全测试,90%网站存在安全漏洞,其中20-30%存在严重安全漏洞。12306已达到最严重级别!马杰说,作为一名技术人员,他从外围已经看到诸多漏洞。如果拥有相关机构授权,或者他可以当场给媒体演示其存在的问题。 此前,微博截图12306网站内部代码(如图),遭到大量网民的吐槽。马杰分析说,这些代码,比较初级,是造成网站慢原因的之一。因为类似like、%等的技术语言,是一种模糊匹配,效率极其低下,一般的网站尽量少用这种匹配。而网民能够轻而易举进去,从容截图,从侧面说明了其安全性不够。 微博曝光12306网站内部代码截图 12306可能是一个草台班子 一位不愿透露姓名团购网站副总裁分析称,从这个网站的架构看,完全是一个不成熟的网站,最初设想也可能是内部使用,难以支撑上亿级别的访问量。 从外泄的代码看,like、%等的技术语言,这是以前将就访问量低于百万级别网站使用,稍微有技术常识的技术人员,不会使用这样的低级语言。 对此,马杰表示了同样的看法。他认为,类似12306这样的网站,应该有一个30-40人的技术团队,而且,还要来自不同的层面研发。从目前其网站安全角度看,它猜测应该没有这么多不同层次水平的技术人员。 标书不应忽视信息安全 2011年底发生的CSDN、天涯、人人网等用户信息泄密事件,2012年3.15晚会中披露的浦发银行、光大银行、工商银行、淘宝、京东商城等信息泄密,警钟长鸣!信息安全触及着每一个人的神经。然而,涉及到上亿用户信息的12306却如此不堪一击,让专家们为之担忧。 但是,这次12306网的漏洞又让人们捏一把汗。 双节过后,会不会出现乘坐火车的个人信息外泄?如果12306不立即亡羊补牢,可能会后患无穷。一位安全领域专家对搜狐IT表示。 其实,此前铁道部3亿的招标升级系统引发了较大质疑。马杰对搜狐IT表示,尚不清楚招标项目中有没有包括安全厂商。太极是一家优秀的软件集成商,应聚集这方面的人才,进行应对。马杰说,如果通过一个防火墙的,恐怕能力有限,因为涉及数据量非常大,恐怕承受不了。如果铁道部愿意系统开放,安全宝公司可免费为其做黑盒(外围)安全保障。 对于3亿巨额招标之后,铁道部到底该如何运作12306系统?马杰认为,大家不应该将矛头对准铁道部,因为每个行业面临的现状都差不多。不过,应该让负责网站运维的人,去做运维的事情,让负责安全的人去做安全的事情。 马杰说。
https://zhengjian.388g.com/mtgKAaIPLes/ https://zhengjian.388g.com/mtgKAaIPLes/

 
推荐新闻
排行榜
报社简介 | 网站简介 | 版权声明 | 新闻刊载许可 | 广告业务 | 报纸发行 | 招聘信息 | 联系我们
版权所有:中共问诊12306之三:漏洞大 数亿用户信息可能外泄市委宣传部  问诊12306之三:漏洞大 数亿用户信息可能外泄新闻网