Chinaunix首页 | 论坛 | 博客
  • 博客访问: 68125
  • 博文数量: 8
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 101
  • 用 户 组: 普通用户
  • 注册时间: 2013-12-26 10:48
个人简介

学无止境。个人空间 http://www.hanzhipan.com

文章分类

全部博文(8)

文章存档

2014年(1)

2013年(7)

我的朋友

分类: IT业界

2013-12-30 08:52:21

12月28日消息,在经历了早上宕机1小时之后,12306铁路客户服务中心网站再次爆发用户账号串号的问题,大量用户身份证等信息遭泄露。

今天是2014年铁路春运售票第一天。下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名、身份证号码、手机号码等信息。


下午17时34分,国内安全问题反馈平台WooYun(乌云)发布信息称,新版12306网站出现用户资料大量泄露的漏洞,并表明危害等级为高。


乌云信息显示,这一漏洞已通知12306,且处于等待处理状态。


不过,腾讯科技曾尝试致电12306,该电话持续忙线中。与此同时,中国铁路总公司官方微博“中国铁路”也并未对此事有任何公示。


但是,金山、360等此前曾推出各种第三方抢票软件的互联网公司对此事做出了回应。


金山方面,猎豹浏览器技术专家分析,造成此次串号的原因可能有四个方面:1、访问流量过大,导致其账号体系出现异常;2、12306网站新版的代码不稳定,存在bug,系统有漏洞;3、12306网站的新版和旧版后台出现了兼容性问题;4、订票系统的PC版和移动版出现兼容性问题。


360方面则表示,其安全专家认为此次事件的主要原因可能有:1、session(会话)重复生成,非全局唯一;2、session未及时删除。session在网络应用中称为“会话”,可以理解为一次登录直至退出。

阅读(2145) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~