12306购票软件再曝漏洞票贩1人可囤1

2020-02-17 | 民生救助  浏览:0次

12306购票软件再曝漏洞 票贩1人可囤1车厢票

票贩

车厢

漏洞

摘要:今天,铁路12306购票软件再次被外界曝光存在安全漏洞,黄牛破解该漏洞后,一个人就可以将全车厢的票买下来。

目前,正值暑运高峰期,热门线路车票一票难求。7月15日,第三方漏洞报告平台 乌云 再次曝出铁路12306购票软件存在漏洞,漏洞等级为 中 。黄牛破解后可以利用该漏洞囤积火车票。和前几次不同,这次乌云曝出的漏洞,为去年底12306新推出的客户端。昨天, 乌云 已经得到12306厂商中国铁道科学研究院的确认,对于漏洞,研究院正在处理中。

7月15日,乌云曝出 12306端so库算法泄露漏洞 ,其分析,这一漏洞类型为设计缺陷/逻辑错误。该漏洞可以让人利用该算法软件模拟端来非法囤积车票。

猎豹移动安全专家李铁军昨天向北青报解释了这个漏洞会造成的后果。他解释说,在正常情况下,我们的一部同一时间只能有一个账号登录12306来购买火车票。目前,正规的抢票软件的购票流程也和12306官方客户端完全一样,一部设备同一时间只支持一个账号登录买票,购票过程完全遵守12306的规则。

但是,现在12306客户端的算法已经被泄露,黄牛知道了客户端和服务端是用什么原理连接的,这样黄牛就可以去伪造多个客户端信息,骗过服务器,从而实现用一台电脑或者一部同时模拟多个账号并连接到12306的服务器上进行购票。这个漏洞会造成购票的不公平,一个人可以囤积多张火车票。

李铁军分析,12306客户端的算法被泄露后,厂商可以用修改算法等方式来修复漏洞。

据了解,2013年12月,铁路部门的官方购票客户端 铁路12306 正式上线试运行,上线首日就迎来了20万人的体验。2014年春运,12306客户端逐渐被旅客接受。

12306多次被曝存在漏洞

2012年9月18日, 乌云 站提交12306站一个漏洞类型为设计缺陷/逻辑错误的高危害等级漏洞。技术人员通过漏洞任意修改用户的密码,可进行 订票、退票 等操作,用户信息将遭到泄露。

2013年12月6日,新版中国铁路客户服务中心12306站上线,仅仅几个小时后,就被第三方漏洞报告平台 乌云 指出存在漏洞,可能导致用户信息泄露。

2014年1月,12306火车订票站被曝出对身份证信息缺乏审核,用虚假的身份证号可直接购票。尽管用该方式购买的火车票无法取票,但不少黄牛利用这个漏洞,在站上用假身份证大量囤票,找到买家后立刻退票回购进行转卖。(王薇)

声明:本媒体部分图片、文章来源于络,版权归原作者所有,如有侵权,请与我联系删除。

生物谷药业灯盏生脉胶囊怎么样
希爱力治疗术后ED的疗效
邯郸十佳男科医院
友情链接: 简阳民生在线