问诊12306之五:系统限于能用 安全漏洞级别高
9月29日上午消息,铁道部12306网暴露出的安全漏洞,引发业界强烈的反响。网络安全专家张接受搜狐IT采访表示,其漏洞已经到了最为严重的安全级别,如果不及时封堵,存在库里面的个人信息,包括订票信息,都可能被别人拿到。/upimg/allimg/120929/1GF55F6-0.jpg
搜狐IT独家解剖12306网站结构图
张百川称,其编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于能用,而没有从多角度考虑。建议铁道部必须开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法。
以下是搜狐IT书面采访张百川全文实录:
搜狐IT:铁道部12306网站目前暴露出的漏洞的是怎样的级别,危害程度有多大?
张百川:看到是有SQL注入、XSS跨站漏洞,这两个一般在各类网站安全评估软件中,评估级别都是高。因多数都能拿到部分数据,如拿到管理员的帐号、密码(要是再知道后台地址就可以登录了)、跑出订票信息等。严重点说,存在库里面的个人信息,包括订票信息,都可能拿到。(之所以说可能,是因为目前没有人公开说拿到数据库,但这并不是说没有这个可能,毕竟法律风险太大,拿到也不会公开说)
搜狐IT:12306网站目前暴露出的漏洞遭遇攻击的难易程度如何?
张百川:就SQL注入和XSS跨站而言,利用的难度有高有低。最低的,利用工具1分钟就可以跑出数据库里面的数据,难度高的,可以综合利用工具和人工进行攻击。同样是漏洞,可利用的难度差异很大。12306的漏洞,至少不是属于最弱智的那一类,要不早就被初中练手的小孩们拿下了。
搜狐IT:12306网站为什么会出现这样漏洞?背后的原因是什么?技术水平如何?
张百川:编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于能用,而没有从多角度考虑。
如,目前微博爆出来的:SQL注入漏洞、XSS跨站漏洞,是自身安全意识的缺乏或者水平较低导致的。有人说是:毕业设计吧?!对此表示赞同。
并且,从目前的一些安全圈朋友测试来看,本身存在安全隐患,并且也没有采用第三方的安全防护手段。如部署入侵防御系统、WEB应用防火墙,或者采用一些厂家目前在做的云安全手段等。
个人认为,该系统验收的时候,目标仅仅是能用,至于好不好用、安全不安全,似乎都没有考虑在内。这样的要求,在很多项目中,属于比较低的水平。
搜狐IT:评价12306网站的整体安全水平如何?与此前CSDN、阿里巴巴、天涯等遭遇攻击比较,防御能力如何?
张百川:低!上面提到了,本身做不好,又没有采用第三方的安全防护手段,如可以直接提交SQL注入语句、直接提交XSS跨站语句,甚至不用考虑做代码变形以绕过安全防护系统。
看了下网上的消息,CSDN被黑就是因为SQL注入漏洞;阿里巴巴、天涯的,网上没有详细的说明,不好判断。严重与否,取决于数据库是否被下载后又大量传播像上面的几个网站数据库,就都曾经在圈子里面流通过。
搜狐IT:如何评价12306网站,你给铁科研有那些好的建议?
张百川:开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法。上面的这些网站,对大规模、大并发的网站运营有非常好的经验。
个人认为,因为火车票是归当地铁路局管的,因此可以做分布式,将数据库剥离开,放在每个铁路局的机房,这样可以分担压力,变同时访问1个网站为多个网站。并且多数用户都是就近访问服务器,速度快、压力小。
问诊12306之四:产品设计团队缺乏经验
问诊12306之三:漏洞大数亿用户信息可能外泄
问诊12306之二:系统不开放3亿投资恐打水漂
专家问诊12306:从业务模型到产品设计都不专业
页:
[1]