問診12306之三：漏洞大，數億用戶信息可能外泄

        【搜狐 IT 消息】（文/毛啟盈）9月 28 日消息，昨晚網絡曝出 12306 又一更嚴重問題被發現，其存在嚴重安全漏洞，有可能泄露用戶信息，并且其他人可以通過該漏洞任意修改用戶名和密碼，進行訂票、退票等操作。對此，搜狐 IT 走訪行業安全方面的專家。通過對 12306 暴露出問題進行分析，專家稱 12306 網站安全隱患已經達到非常嚴重的級別，如果不及時升級封堵，上億用戶信息可能外泄。

搜狐 IT 獨家解剖 12306 網站結構圖

        曝出來的漏洞僅是冰山一角

        針對網絡曝出 12306 曝出安全漏洞，搜狐 IT 走訪了網絡安全專家、安全寶 CEO 馬杰。馬杰曾經是瑞星公司技術工程師，擁有 10 余年的安全方面經驗。

網絡安全專家、安全寶 CEO 馬杰

        馬杰告訴搜狐 IT 說，“網絡已曝出來的漏洞，還是比較一般的漏洞，還有最嚴重的漏洞，可以影響到它們整個數據庫的安全，對已購買過票的用戶，信息有一定的外泄風險。”

        網民還是比較負責的態度，僅公開了其中一部分漏洞，白墨黑字和截圖，卻沒有泄露更多的用戶信息。馬杰分析稱，相比工商、稅務、公安等信息系統來 說，12306也是一個非常重要的網站，關系到數以萬計的民眾，但是，其安全性還是比較差。比較資深的安全專家和比較厲害的黑客，可以進入數據庫。“沒有 授權，不方便進入，可能牽涉到大量的用戶信息”。

        “我們做過網站安全測試，90% 網站存在安全漏洞，其中 20-30% 存在嚴重安全漏洞。12306已達到最嚴重級別！”馬杰說，作為一名技術人員，他從外圍已經看到諸多漏洞。如果擁有相關機構授權，或者他可以當場給媒體演示其存在的問題。

        此前，微博截圖 12306 網站內部代碼（如圖），遭到大量網民的吐槽。馬杰分析說，這些代碼，比較初級，是造成網站慢原因的之一。因為類似“like、%”等的技術語言，是一種模 糊匹配，效率極其低下，一般的網站盡量少用這種匹配。“而網民能夠輕而易舉進去，從容截圖，從側面說明了其安全性不夠。”        

微博曝光 12306 網站內部代碼截圖

        12306可能是一個“草臺班子”

        一位不愿透露姓名團購網站副總裁分析稱，從這個網站的架構看，完全是一個不成熟的網站，最初設想也可能是“內部使用”，難以支撐上億級別的訪問量。

        從外泄的代碼看，“like、%”等的技術語言，這是以前將就訪問量低于百萬級別網站使用，稍微有技術常識的技術人員，不會使用這樣的低級語言。

        對此，馬杰表示了同樣的看法。他認為，類似 12306 這樣的網站，應該有一個 30-40人的技術團隊，而且，還要來自不同的層面研發。從目前其網站安全角度看，它猜測應該沒有這么多不同層次水平的技術人員。

        “標書”不應忽視信息安全

        2011年底發生的 CSDN、天涯、人人網等用戶信息泄密事件，2012年3.15晚會中披露的浦發銀行、光大銀行、工商銀行、淘寶、京東商城等信息泄密，警鐘長鳴!信息安 全觸及著每一個人的神經。然而，涉及到上億用戶信息的 12306 卻如此不堪一擊，讓專家們為之擔憂。

        但是，這次 12306 網的漏洞又讓人們捏一把汗。 “雙節”過后，會不會出現乘坐火車的個人信息外泄？如果 12306 不立即亡羊補牢，可能會后患無窮。一位安全領域專家對搜狐 IT 表示。

        其實，此前鐵道部 3 億的招標升級系統引發了較大質疑。馬杰對搜狐 IT 表示，尚不清楚招標項目中有沒有包括安全廠商。“太極是一家優秀的軟件集成商，應聚集這方面的人才，進行應對。”馬杰說，如果通過一個防火墻的，恐怕能力 有限，因為涉及數據量非常大，恐怕承受不了。如果鐵道部愿意系統開放，“安全寶公司可免費為其做‘黑盒’（外圍）安全保障。”

        對于 3 億巨額招標之后，鐵道部到底該如何運作 12306 系統？馬杰認為，大家不應該將矛頭對準鐵道部，因為每個行業面臨的現狀都差不多。“不過，應該讓負責網站運維的人，去做運維的事情，讓負責安全的人去做安全的事情。 ”馬杰說。