本報訊(記者王薇)目前,正值暑運高峰期,熱門線路車票一票難求。7月15日,第三方漏洞報告平臺“烏雲”再次曝出鐵路12306購票軟件存在漏洞,漏洞等級為“中”。黃牛破解後可以利用該漏洞囤積火車票。和前幾次不同,這次烏雲網曝出的漏洞,為去年底12306新推出的手機客戶端。昨天,“烏雲”已經得到12306廠商中國鐵道科學研究院的確認,對於漏洞,研究院正在處理中。
  7月15日,烏雲網曝出“12306手機端so庫算法泄露漏洞”,其分析,這一漏洞類型為設計缺陷/邏輯錯誤。該漏洞可以讓人利用該算法軟件模擬手機端來非法囤積車票。
  獵豹移動安全專家李鐵軍昨天向北青報記者解釋了這個漏洞會造成的後果。他解釋說,在正常情況下,我們的一部手機同一時間只能有一個賬號登錄12306來購買火車票。目前,正規的搶票軟件的購票流程也和12306官方客戶端完全一樣,一部設備同一時間只支持一個賬號登錄買票,購票過程完全遵守12306的規則。
  但是,現在12306手機客戶端的算法已經被泄露,黃牛知道了客戶端和服務端是用什麼原理連接的,這樣黃牛就可以去偽造多個客戶端信息,騙過服務器,從而實現用一臺電腦或者一部手機同時模擬多個賬號並連接到12306的服務器上進行購票。這個漏洞會造成購票的不公平,一個人可以囤積多張火車票。
  李鐵軍分析,12306手機客戶端的算法被泄露後,廠商可以用修改算法等方式來修複漏洞。
  據瞭解,2013年12月,鐵路部門的官方手機購票客戶端“鐵路12306”正式上線試運行,上線首日就迎來了20萬人的體驗。2014年春運,12306手機客戶端逐漸被旅客接受。
  內存
  12306多次被曝存在漏洞
  2012年9月18日,“烏雲”網站提交12306網站一個漏洞類型為設計缺陷/邏輯錯誤的高危害等級漏洞。技術人員通過漏洞任意修改用戶的密碼,可進行“訂票、退票”等操作,用戶信息將遭到泄露。
  2013年12月6日,新版中國鐵路客戶服務中心12306網站上線,僅僅幾個小時後,就被第三方漏洞報告平臺“烏雲網”指出存在漏洞,可能導致用戶信息泄露。
  2014年1月,12306火車訂票網站被曝出對身份證信息缺乏審核,用虛假的身份證號可直接購票。儘管用該方式購買的火車票無法取票,但不少黃牛利用這個漏洞,在網站上用假身份證大量囤票,找到買家後立刻退票回購進行轉賣。文/本報記者王薇  (原標題:12306購票軟件再曝漏洞)
創作者介紹

usrxrlawgmhbg 發表在 痞客邦 PIXNET 留言(0) 人氣()