針對(duì)近期媒體和網(wǎng)民關(guān)心的全國(guó)鐵路新一代客票系統(tǒng)招標(biāo)問(wèn)題,昨日(9月28日)下午��,鐵道部宣傳處對(duì)《每日經(jīng)濟(jì)新聞》記者作出回應(yīng)�����。
但一波未平一波又起,9月27日晚�����,鐵道部官方訂票網(wǎng)站12306網(wǎng)上訂票系統(tǒng)又被曝出現(xiàn)低級(jí)漏洞����。
漏洞被指簡(jiǎn)單且低級(jí)
國(guó)內(nèi)權(quán)威漏洞報(bào)告平臺(tái)“烏云”發(fā)布了一份名為 “12306漏洞一包裹”的漏洞,相關(guān)廠商為中國(guó)鐵道科學(xué)研究院����。烏云指出,在國(guó)慶節(jié)前訂票高峰期��,12306也進(jìn)入了漏洞頻發(fā)高峰期。這是今年9月份以來(lái)�����,12306出現(xiàn)的第6個(gè)漏洞����。
烏云技術(shù)負(fù)責(zé)人還告訴 《每日經(jīng)濟(jì)新聞》記者,半月前12306曾曝出一起漏洞��,可能直接危害到訂票人的信息安全����。這些低級(jí)漏洞的出現(xiàn),系統(tǒng)開(kāi)發(fā)方中國(guó)鐵道科學(xué)研究院恐難辭其咎��。
9月27日��,一名叫“qiaoy”的網(wǎng)友在烏云網(wǎng)站上提交了一個(gè)漏洞報(bào)告12306漏洞一包裹��,危害等級(jí)為“高”����。隨后,中國(guó)鐵道科學(xué)研究院確認(rèn)并回復(fù)“修補(bǔ)中”。
烏云網(wǎng)站技術(shù)負(fù)責(zé)人透露��,從安全的角度看����,這樣的漏洞有點(diǎn)簡(jiǎn)單和低級(jí)?�!耙话憔W(wǎng)站上線前����,公司都會(huì)對(duì)系統(tǒng)進(jìn)行系列的嚴(yán)格的測(cè)試��,所以這種簡(jiǎn)單的錯(cuò)誤和漏洞就會(huì)避免�����。12306曝出低級(jí)錯(cuò)誤��,說(shuō)明缺乏這種檢測(cè)措施�����?����!?/font>
9月份以來(lái)曝出6個(gè)漏洞
烏云網(wǎng)站統(tǒng)計(jì)數(shù)據(jù)顯示,12306從今年2月份開(kāi)始��,除了6月和8月��,幾乎每月都有漏洞報(bào)告��,9月份以來(lái)竟然曝出高達(dá)6個(gè)漏洞��。而在半個(gè)月前12306的確出現(xiàn)一個(gè)漏洞����,稱12306系統(tǒng)修改任意密碼,有可能會(huì)導(dǎo)致訂票人信息泄露����。
從12306曝出的漏洞類型看,主要為SQL注射漏洞�����、賬戶體系控制不嚴(yán)�����、系統(tǒng)/服務(wù)運(yùn)維配置不當(dāng)、設(shè)計(jì)缺陷/邏輯錯(cuò)誤��,其中��,SQL注射漏洞這一類型的漏洞最多的�����,比例達(dá)到78%����。
由于鐵道部實(shí)行購(gòu)票實(shí)名制,低級(jí)安全漏洞的出現(xiàn)讓不少訂票者感到了擔(dān)憂����。
同時(shí)��,這份低級(jí)漏洞報(bào)告�����,也讓系統(tǒng)開(kāi)發(fā)方中國(guó)鐵道科學(xué)研究院浮出水面����,因?yàn)?2306所有的漏洞相關(guān)廠商都是該學(xué)院的名稱。
