当前位置:笑脸手抓饼招商_手抓饼加盟_速冻手抓饼代科技安全专家诊断12306网站:三大因素或导致“串号”
安全专家诊断12306网站:三大因素或导致“串号”
2022-11-21

图:“李春雨”出现在大量12306用户登录页面中

春运售票首日,12306网站爆发“串号”现象,时间持续近一个小时,并导致部分用户个人资料泄露。从360安全中心的技术专家获悉,12306网站“串号”主要存在三种可能性,包括网站信息泄露漏洞、CDN配置问题或网站服务器身份识别发生错误。

当天下午15点开始,用户登录12306后显示一个名为“李春雨”的账号,还能看到很多陌生人的账号资料,直到15点49分恢复正常。无论是哪个地区用户、使用哪款浏览器,都发现有“串号”现象,可以排除运营商劫持等其他因素,确定是12306网站自身的漏洞。

据了解,360安全中心监测到12306网站“串号”漏洞后,在官方微博国内 发布安全警报,并通知12306网站和国家互联网应急中心,帮助12306紧急修复。360网站安全总监赵武分析认为,此次12306“串号”可能是以下三种原因造成的:

一、网站存在信息泄露漏洞,导致登录账户后出现他人资料。此问题的根源在于网站代码编写质量缺陷,没有严格按照安全规范执行;

二、网站CDN配置问题,导致用户能获取到他人账号信息。网站CDN缓存了带有用户session( 标示符)信息的网页,当用户A登录时,服务端返回页面内容被CDN缓存,此后同网络的用户B也访问了该网站,可能直接取得了刚才CDN缓存的用户A的登录信息,从而导致不同用户间串号;

三、网站服务器身份识别发生错误,导致用户会话session取值不对,也可能造成用户账号出现异常。

发布的《2013年中国网站安全报告》显示,国内65.5%的网站存在各类漏洞,此次12306“串号”也让更多公众关注到网站安全问题。针对网站“串号”现象,360网站安全检测平台建议:

第一、网站应在session算法中加入服务器IP地址、本地时间戳、用户IP、用户ID等信息,以做到session设计全局 ;

第二、建议网站增加“加锁”机制,以确保在该session会话信息未删除前不可被再次使用;

第三、建议12306网站在请求中增加动态随机数或改为HTTPS方式,以解决CDN缓存配置不当的问题。

针对普通网友,360安全专家建议12306用户尽快修改密码,以免“串号”导致用户权限混乱带来安全隐患。此外,用户也应防范可能出现的购票欺诈,不轻信以“12306客服”等名义发来的可疑信息。

//文章网站 //统计代码