学无止境。个人空间 http://www.hanzhipan.com
分类: IT业界
2013-12-30 08:52:21
今天是2014年铁路春运售票第一天。下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名、身份证号码、手机号码等信息。
下午17时34分,国内安全问题反馈平台WooYun(乌云)发布信息称,新版12306网站出现用户资料大量泄露的漏洞,并表明危害等级为高。
乌云信息显示,这一漏洞已通知12306,且处于等待处理状态。
不过,腾讯科技曾尝试致电12306,该电话持续忙线中。与此同时,中国铁路总公司官方微博“中国铁路”也并未对此事有任何公示。
但是,金山、360等此前曾推出各种第三方抢票软件的互联网公司对此事做出了回应。
金山方面,猎豹浏览器技术专家分析,造成此次串号的原因可能有四个方面:1、访问流量过大,导致其账号体系出现异常;2、12306网站新版的代码不稳定,存在bug,系统有漏洞;3、12306网站的新版和旧版后台出现了兼容性问题;4、订票系统的PC版和移动版出现兼容性问题。
360方面则表示,其安全专家认为此次事件的主要原因可能有:1、session(会话)重复生成,非全局唯一;2、session未及时删除。session在网络应用中称为“会话”,可以理解为一次登录直至退出。