admin 铁道部的12306订票网站的能力和用户体验遭受质疑的同时,该网站又一更严重的问题被发现,其存在严重安全漏洞,有可能泄露用户信息,并且其他人可以通过该漏洞任意修改用户名和密码,进行订票、退票等操作。
保存到相册
|
在专门收集曝光各种系统安全漏洞的乌云网站(www.wooyun.org)上,在最新确认栏有一条12306某分站信息显示:12306.cn某分站注入漏洞,漏洞类型为SQL注射漏洞,危害等级为高,相关厂商为中国铁道科学研究院,目前漏洞状态为厂商已经确认。
据漏洞作者“yingoing”介绍,技术人员通过漏洞任意修改用户的密码,可进行“订票、退票”等操作,用户信息将遭到泄露。至于具体的操作方法和具体细节就不透露了,等他们修复再公开吧!这个确实影响很大。”
乌云白帽子称,漏洞已提交厂商,等待处理。该漏洞是乌云白帽子根据网友提供的信息,“乌云”进行测试,确认漏洞的存在,危害等级为“高”。“乌云白帽子”介绍,12306.cn官网的系统可能没经过严格设计和测试,导致这个安全漏洞的出现,“但详细信息不便透露,等待修复”。
“乌云白帽子”向媒体透露,“乌云”已于18日将漏洞的细节通过邮箱提交给中国铁道科学研究院,正等待厂商处理。
早在今年年初,12306就曾有媒体报道,12306存在安全漏洞问题,有可能造成用户信息泄露,时隔9个多月,12306增加了“强制排队”功能,却没有解决安全问题。
小知识之乌云网站
乌云网站是一个专门收集曝光各种系统安全漏洞的网站,早在2011年底,互联网行业爆发泄密事件。乌云网站网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞,因此声名鹊起。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
