針對近期媒體和網(wǎng)民關(guān)心的全國鐵路新一代客票系統(tǒng)招標問題,昨日(9月28日)下午����,鐵道部宣傳處對《每日經(jīng)濟新聞》記者作出回應(yīng)��。
但一波未平一波又起��,9月27日晚��,鐵道部官方訂票網(wǎng)站12306網(wǎng)上訂票系統(tǒng)又被曝出現(xiàn)低級漏洞�����。
漏洞被指簡單且低級
國內(nèi)權(quán)威漏洞報告平臺“烏云”發(fā)布了一份名為 “12306漏洞一包裹”的漏洞��,相關(guān)廠商為中國鐵道科學(xué)研究院��。烏云指出��,在國慶節(jié)前訂票高峰期���,12306也進入了漏洞頻發(fā)高峰期。這是今年9月份以來��,12306出現(xiàn)的第6個漏洞。
烏云技術(shù)負責(zé)人還告訴 《每日經(jīng)濟新聞》記者�,半月前12306曾曝出一起漏洞,可能直接危害到訂票人的信息安全�。這些低級漏洞的出現(xiàn)���,系統(tǒng)開發(fā)方中國鐵道科學(xué)研究院恐難辭其咎����。
9月27日�����,一名叫“qiaoy”的網(wǎng)友在烏云網(wǎng)站上提交了一個漏洞報告12306漏洞一包裹��,危害等級為“高”��。隨后���,中國鐵道科學(xué)研究院確認并回復(fù)“修補中”����。
烏云網(wǎng)站技術(shù)負責(zé)人透露�,從安全的角度看����,這樣的漏洞有點簡單和低級��?�!耙话憔W(wǎng)站上線前���,公司都會對系統(tǒng)進行系列的嚴格的測試����,所以這種簡單的錯誤和漏洞就會避免����。12306曝出低級錯誤,說明缺乏這種檢測措施�。”
9月份以來曝出6個漏洞
烏云網(wǎng)站統(tǒng)計數(shù)據(jù)顯示��,12306從今年2月份開始���,除了6月和8月����,幾乎每月都有漏洞報告,9月份以來竟然曝出高達6個漏洞����。而在半個月前12306的確出現(xiàn)一個漏洞,稱12306系統(tǒng)修改任意密碼�����,有可能會導(dǎo)致訂票人信息泄露���。
從12306曝出的漏洞類型看,主要為SQL注射漏洞����、賬戶體系控制不嚴、系統(tǒng)/服務(wù)運維配置不當��、設(shè)計缺陷/邏輯錯誤����,其中,SQL注射漏洞這一類型的漏洞最多的�,比例達到78%。
由于鐵道部實行購票實名制,低級安全漏洞的出現(xiàn)讓不少訂票者感到了擔(dān)憂����。
同時,這份低級漏洞報告�,也讓系統(tǒng)開發(fā)方中國鐵道科學(xué)研究院浮出水面,因為12306所有的漏洞相關(guān)廠商都是該學(xué)院的名稱���。
