问诊12306之五：系统限于能用 安全漏洞级别高

aiboboxx

9月29日上午消息，铁道部12306网暴露出的安全漏洞，引发业界强烈的反响。网络安全专家张接受搜狐IT采访表示，其漏洞已经到了最为严重的安全级别，如果不及时封堵，存在库里面的个人信息，包括订票信息，都可能被别人拿到。

5 g7 }5 q* H  I0 w* N' m3 A4 U

6 r3 O. E  _4 M1 a& e% O                               
登录/注册后可看大图

- h, M$ x5 @- i4 L1 w( E4 U/ w  g4 Q搜狐IT独家解剖12306网站结构图
张百川称，其编程过程不严谨、数据库知识了解不够，搭建系统的时候，仅限于能用，而没有从多角度考虑。建议铁道部必须开放!放弃垄断、放下架子，主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队，就目前的现状进行探讨，找出解决方法。
+ d$ \" H, Y! n/ n( z& L6 q5 ^以下是搜狐IT书面采访张百川全文实录：
/ D& D3 U# ~& |9 t% i: k: b, q搜狐IT：铁道部12306网站目前暴露出的漏洞的是怎样的级别，危害程度有多大?
张百川：看到是有SQL注入、XSS跨站漏洞，这两个一般在各类网站安全评估软件中，评估级别都是高。因多数都能拿到部分数据，如拿到管理员的帐号、密码(要是再知道后台地址就可以登录了)、跑出订票信息等。严重点说，存在库里面的个人信息，包括订票信息，都可能拿到。(之所以说可能，是因为目前没有人公开说拿到数据库，但这并不是说没有这个可能，毕竟法律风险太大，拿到也不会公开说)
6 ^" E' R- H( U) W- V+ r& \+ J搜狐IT：12306网站目前暴露出的漏洞遭遇攻击的难易程度如何?
张百川：就SQL注入和XSS跨站而言，利用的难度有高有低。最低的，利用工具1分钟就可以跑出数据库里面的数据，难度高的，可以综合利用工具和人工进行攻击。同样是漏洞，可利用的难度差异很大。12306的漏洞，至少不是属于最弱智的那一类，要不早就被初中练手的小孩们拿下了。
搜狐IT：12306网站为什么会出现这样漏洞?背后的原因是什么?技术水平如何?
张百川：编程过程不严谨、数据库知识了解不够，搭建系统的时候，仅限于能用，而没有从多角度考虑。
! v+ A6 ~" |+ z2 ^$ Z. x如，目前微博爆出来的：SQL注入漏洞、XSS跨站漏洞，是自身安全意识的缺乏或者水平较低导致的。有人说是：毕业设计吧?!对此表示赞同。
2 x+ z& v, D2 H4 y% w  v并且，从目前的一些安全圈朋友测试来看，本身存在安全隐患，并且也没有采用第三方的安全防护手段。如部署入侵防御系统、WEB应用防火墙，或者采用一些厂家目前在做的云安全手段等。
  R2 ^( Z' P  O/ T$ t( U个人认为，该系统验收的时候，目标仅仅是能用，至于好不好用、安全不安全，似乎都没有考虑在内。这样的要求，在很多项目中，属于比较低的水平。
# ^4 W/ X2 v3 |' M搜狐IT：评价12306网站的整体安全水平如何?与此前CSDN、阿里巴巴、天涯等遭遇攻击比较，防御能力如何?
张百川：低!上面提到了，本身做不好，又没有采用第三方的安全防护手段，如可以直接提交SQL注入语句、直接提交XSS跨站语句，甚至不用考虑做代码变形以绕过安全防护系统。
' ], p4 |, g7 T- p& X看了下网上的消息，CSDN被黑就是因为SQL注入漏洞;阿里巴巴、天涯的，网上没有详细的说明，不好判断。严重与否，取决于数据库是否被下载后又大量传播像上面的几个网站数据库，就都曾经在圈子里面流通过。
! h0 w0 N: q9 @% y5 B4 {& N+ L搜狐IT：如何评价12306网站，你给铁科研有那些好的建议?
: Z# K; Z, @! @2 O6 J; c, F9 a: A* y张百川：开放!放弃垄断、放下架子，主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队，就目前的现状进行探讨，找出解决方法。上面的这些网站，对大规模、大并发的网站运营有非常好的经验。
个人认为，因为火车票是归当地铁路局管的，因此可以做分布式，将数据库剥离开，放在每个铁路局的机房，这样可以分担压力，变同时访问1个网站为多个网站。并且多数用户都是就近访问服务器，速度快、压力小。
问诊12306之四：产品设计团队缺乏经验
. O. D& P3 B. x+ S0 ]问诊12306之三：漏洞大数亿用户信息可能外泄
7 t) G, U2 G4 S4 g% E5 r, Q问诊12306之二：系统不开放3亿投资恐打水漂
4 u7 d$ M7 M! X1 P专家问诊12306：从业务模型到产品设计都不专业