鐵道部購票網站存泄密危險 CDN服務商技術短板是主因

        2012年，順應廣大消費者需求鐵道部全面推行實名制、網絡購票、電話訂票等新措施，對于眾多渴望年底回家團年，順利買到火車票的消費者是重大利好，如果一切順利，這無疑是鐵道部為消費者干得最漂亮的一件實事。

        中國鐵路客戶服務中心網(www.12306.cn)是網購火車票的唯一官方網站，但從 12306 網站正式上線至今，由于訪問量過大，不少旅客在 12306 網購車票時，頻頻遭遇“系統忙”而無法訪問。對此，鐵道部表示正在不斷優化相關程序，完善設備設施，增加網絡帶寬，努力改進工作。

        圖注：從 12360 網站上線開始其訪問量持續攀升

        我們愿意相信這些問題也僅僅屬于短期或個別，且可以通過申訴解決。但一個更大的隱患正在顯現，近日，在國內知名的技術論壇 CSDN 上，一位名叫”特總兵-AK47”的網友研究發現 12306 網絡售票網站存在安全問題，他認為鐵道部購票網站可能造成另一次的密碼危機。

        這位網友認為，12306網站的前端基本架構是 jQuery+Struts+CDN (即 content distribution network)，其中的 CDN 服務(內容分發加速網絡)是網宿科技由支持。而鐵道部互聯網售票系統集成項目則由太極軟件負責。

        而據媒體此前報道稱，網宿科技自 2010 年起兩項主營業務 CDN 和 IDC (互聯網數據中心)毛利率均迅速大幅下降。而網宿科技的解決之道則是開始走低價路線，“在沒有技術優勢的前提下，網宿科技打出了最擅長的低價牌，然而號稱 要做行內龍頭企業的網宿科技，在高科技旗下的低價路線，面對著不斷上漲的營業成本，似乎已經走上了一條不歸路。”

        而低價可能是鐵道部最終選擇網宿科技的原因之一。這造成的直接結果必然是技術層面的缺陷和安全問題隱患。

        該人士列舉了目前為止在 12306 發現的幾項安全漏洞：

        第一、不安全。查詢列車信息的 querySingleAction.do，并沒有用 JS 語言記錄，而是用更易看懂的 HTML 上傳;且用戶信息采用明文記錄，網絡爬蟲可輕松抓取。

        圖注：用戶信息采用明文記錄，網絡爬蟲可輕松抓取

        第二、速度慢。系統將 JS 和 CSS 加載起來毫無意義，用戶點擊“預定按鈕”，就會跳出了 33 個 CSS 格式請求，每個耗時5-6秒的，直接造成網絡繁忙;網站全部采用舊時的 iframe 架構，每次點擊時候都要全部加載頁面，極大拖慢網速。

        圖注：加載 JS 和 CSS 毫無意義，只會極大拖慢網速

        第三、技術落后。除了上面提到的 iframe 架構，網站僅裁用了 DHTMLX 2.0 版本，而現在業界普遍適用的早已升級到3.0版本。

        圖注：DHTMLX 都已經升級到3.0啦，竟然用的2.0

        這些安全漏洞的存在，似乎也讓 12306 目前出現的種種問題顯得不足為奇。網友”特總兵-AK47”認為，12360目前遇到的問題完全不是帶寬的問題，真正的問題在于該網站的內容分發系統完全 沒有在做負載均衡處理。同時，他還向鐵道部支招，“其實解決這個問題很簡單，把網絡傳輸的內容減少 90% 就可以。”(恰克)