9月29日上午消息，鐵道部12306網暴露出的安全漏洞，引發(fā)業(yè)界強烈的反響。網絡安全專家張百川稱，其漏洞已經到了最為嚴重的安全級別，如果不及時封堵，存在庫里面的個人信息，包括訂票信息，都“可能”被別人拿到。

　　其編程過程不嚴謹、數(shù)據(jù)庫知識了解不夠，搭建系統(tǒng)的時候，僅限于“能用”，而沒有從多角度考慮。建議鐵道部必須“開放！放棄壟斷、放下架子，主動邀請像搜狐、新浪、阿里巴巴（淘寶）、騰訊、京東等的團隊，就目前的現(xiàn)狀進行探討，找出解決方法。”

　　以下是搜狐IT書面采訪張百川全文實錄：

　　搜狐IT：鐵道部12306網站目前暴露出的漏洞的是怎樣的級別，危害程度有多大？

　　張百川：看到是有SQL注入、XSS跨站漏洞，這兩個一般在各類網站安全評估軟件中，評估級別都是高。因多數(shù)都能拿到部分數(shù)據(jù)，如拿到管理員的帳號、密碼（要是再知道后臺地址就可以登錄了）、跑出訂票信息等。嚴重點說，存在庫里面的個人信息，包括訂票信息，都“可能”拿到。（之所以說可能，是因為目前沒有人公開說拿到數(shù)據(jù)庫，但這并不是說沒有這個可能，畢竟法律風險太大，拿到也不會公開說）

　　搜狐IT：12306網站目前暴露出的漏洞遭遇攻擊的難易程度如何？

　　張百川：就SQL注入和XSS跨站而言，利用的難度有高有低。最低的，利用工具1分鐘就可以跑出數(shù)據(jù)庫里面的數(shù)據(jù)，難度高的，可以綜合利用工具和人工進行攻擊。同樣是漏洞，可利用的難度差異很大。12306的漏洞，至少不是屬于“最弱智”的那一類，要不早就被初中練手的小孩們拿下了。

　　搜狐IT：12306網站為什么會出現(xiàn)這樣漏洞？背后的原因是什么？技術水平如何？

　　張百川：編程過程不嚴謹、數(shù)據(jù)庫知識了解不夠，搭建系統(tǒng)的時候，僅限于“能用”，而沒有從多角度考慮。

　　如，目前微博爆出來的：SQL注入漏洞、XSS跨站漏洞，是自身安全意識的缺乏或者水平較低導致的。有人說是：畢業(yè)設計吧？！對此表示贊同。

　　并且，從目前的一些安全圈朋友測試來看，本身存在安全隱患，并且也沒有采用第三方的安全防護手段。如部署入侵防御系統(tǒng)、WEB應用防火墻，或者采用一些廠家目前在做的云安全手段等。

　　個人認為，該系統(tǒng)驗收的時候，目標僅僅是“能用”，至于好不好用、安全不安全，似乎都沒有考慮在內。這樣的要求，在很多項目中，屬于比較低的水平。

　　搜狐IT：評價12306網站的整體安全水平如何？與此前CSDN、阿里巴巴、天涯等遭遇攻擊比較，防御能力如何？

　　張百川：低！上面提到了，本身做不好，又沒有采用第三方的安全防護手段，如可以直接提交SQL注入語句、直接提交XSS跨站語句，甚至不用考慮做代碼變形以繞過安全防護系統(tǒng)。

　　看了下網上的消息，CSDN被黑就是因為SQL注入漏洞；阿里巴巴、天涯的，網上沒有詳細的說明，不好判斷。嚴重與否，取決于數(shù)據(jù)庫是否被下載后又大量傳播……像上面的幾個網站數(shù)據(jù)庫，就都曾經在圈子里面流通過。

　　搜狐IT：如何評價12306網站，你給鐵科研有那些好的建議？

　　張百川： 開放！放棄壟斷、放下架子，主動邀請像新浪、阿里巴巴（淘寶）、騰訊、京東等的團隊，就目前的現(xiàn)狀進行探討，找出解決方法。上面的這些網站，對大規(guī)模、大并發(fā)的網站運營有非常好的經驗。

　　個人認為，因為火車票是歸當?shù)罔F路局管的，因此可以做分布式，將數(shù)據(jù)庫剝離開，放在每個鐵路局的機房，這樣可以分擔壓力，變同時訪問1個網站為多個網站。并且多數(shù)用戶都是就近訪問服務器，速度快、壓力小。

　　張百川，“游俠安全網”（www.youxia.org）站長、MCP/MCSE/MCDBA、Linux網絡管理工程師。對主機審計、網絡審計、數(shù)據(jù)庫審計、運維審計等有深刻認識和研究，對信息與網絡安全方案的規(guī)劃、設計、實施有豐富的實戰(zhàn)經驗。以“網路游俠”為名在多家專業(yè)網絡安全、信息安全媒體發(fā)表作品30余篇。

　　12306系列報道：

　　12306網系列報道： 

　　問診12306之一：從業(yè)務模型到產品設計都不專業(yè)

　　問診12306之二：系統(tǒng)不開放 3億投資恐打水漂

　　問診12306之三：漏洞大，數(shù)億用戶信息可能外泄

　　問診12306之四：產品設計團隊缺乏經驗

　　評論：3年3億鐵道部12306網"試錯"成本過高

　　評論：鐵道部回應12306招標質疑漏洞多 

　　推薦閱讀

　　國家互聯(lián)網信息辦：堅決整治網上淫穢色情信息

國家互聯(lián)網信息辦：堅決整治網上淫穢色情信息 已查處互聯(lián)網企業(yè)287家 據(jù)新華社北京9月28日電 記者從國家互聯(lián)網信息辦公室了解到：在整治互聯(lián)網和手機媒體傳播淫穢色情及低俗信息專項行動中，已查處互聯(lián)網企業(yè)287家，>>>詳細閱讀

本文標題：問診12306之五：系統(tǒng)限于能用 安全漏洞級別高

地址：http://m.sdlzkt.com/a/11/20120929/87226.html

 1/2    1  2 下一頁