問診12306之五：系統(tǒng)限于能用 安全漏洞級(jí)別高

來源:站長(zhǎng)新聞 2012-10-13

快速提升網(wǎng)站銷量，使用365webcall網(wǎng)上客服工具

9月29日上午消息,鐵道部12306網(wǎng)暴露出的安全漏洞,引發(fā)業(yè)界強(qiáng)烈的反響。網(wǎng)絡(luò)安全專家張接受搜狐IT采訪表示,其漏洞已經(jīng)到了最為嚴(yán)重的安全級(jí)別,如果不及時(shí)封堵,存在庫(kù)里面的個(gè)人信息,包括訂票信息,都“可能”被別人拿到。

搜狐IT獨(dú)家解剖12306網(wǎng)站結(jié)構(gòu)圖

張百川稱,其編程過程不嚴(yán)謹(jǐn)、數(shù)據(jù)庫(kù)知識(shí)了解不夠,搭建系統(tǒng)的時(shí)候,僅限于“能用”,而沒有從多角度考慮。建議鐵道部必須“開放!放棄壟斷、放下架子,主動(dòng)邀請(qǐng)像搜狐、新浪、阿里巴巴(淘寶)、騰訊、京東等的團(tuán)隊(duì),就目前的現(xiàn)狀進(jìn)行探討,找出解決方法。”

以下是搜狐IT書面采訪張百川全文實(shí)錄:

搜狐IT:鐵道部12306網(wǎng)站目前暴露出的漏洞的是怎樣的級(jí)別,危害程度有多大?

張百川:看到是有SQL注入、XSS跨站漏洞,這兩個(gè)一般在各類網(wǎng)站安全評(píng)估軟件中,評(píng)估級(jí)別都是高。因多數(shù)都能拿到部分?jǐn)?shù)據(jù),如拿到管理員的帳號(hào)、密碼(要是再知道后臺(tái)地址就可以登錄了)、跑出訂票信息等。嚴(yán)重點(diǎn)說,存在庫(kù)里面的個(gè)人信息,包括訂票信息,都“可能”拿到。(之所以說可能,是因?yàn)槟壳皼]有人公開說拿到數(shù)據(jù)庫(kù),但這并不是說沒有這個(gè)可能,畢竟法律風(fēng)險(xiǎn)太大,拿到也不會(huì)公開說)

搜狐IT:12306網(wǎng)站目前暴露出的漏洞遭遇攻擊的難易程度如何?

張百川:就SQL注入和XSS跨站而言,利用的難度有高有低。最低的,利用工具1分鐘就可以跑出數(shù)據(jù)庫(kù)里面的數(shù)據(jù),難度高的,可以綜合利用工具和人工進(jìn)行攻擊。同樣是漏洞,可利用的難度差異很大。12306的漏洞,至少不是屬于“最弱智”的那一類,要不早就被初中練手的小孩們拿下了。

搜狐IT:12306網(wǎng)站為什么會(huì)出現(xiàn)這樣漏洞?背后的原因是什么?技術(shù)水平如何?

張百川:編程過程不嚴(yán)謹(jǐn)、數(shù)據(jù)庫(kù)知識(shí)了解不夠,搭建系統(tǒng)的時(shí)候,僅限于“能用”,而沒有從多角度考慮。

如,目前微博爆出來的:SQL注入漏洞、XSS跨站漏洞,是自身安全意識(shí)的缺乏或者水平較低導(dǎo)致的。有人說是:畢業(yè)設(shè)計(jì)吧?!對(duì)此表示贊同。

并且,從目前的一些安全圈朋友測(cè)試來看,本身存在安全隱患,并且也沒有采用第三方的安全防護(hù)手段。如部署入侵防御系統(tǒng)、WEB應(yīng)用防火墻,或者采用一些廠家目前在做的云安全手段等。

個(gè)人認(rèn)為,該系統(tǒng)驗(yàn)收的時(shí)候,目標(biāo)僅僅是“能用”,至于好不好用、安全不安全,似乎都沒有考慮在內(nèi)。這樣的要求,在很多項(xiàng)目中,屬于比較低的水平。

搜狐IT:評(píng)價(jià)12306網(wǎng)站的整體安全水平如何?與此前CSDN、阿里巴巴、天涯等遭遇攻擊比較,防御能力如何?

張百川:低!上面提到了,本身做不好,又沒有采用第三方的安全防護(hù)手段,如可以直接提交SQL注入語句、直接提交XSS跨站語句,甚至不用考慮做代碼變形以繞過安全防護(hù)系統(tǒng)。

看了下網(wǎng)上的消息,CSDN被黑就是因?yàn)镾QL注入漏洞;阿里巴巴、天涯的,網(wǎng)上沒有詳細(xì)的說明,不好判斷。嚴(yán)重與否,取決于數(shù)據(jù)庫(kù)是否被下載后又大量傳播……像上面的幾個(gè)網(wǎng)站數(shù)據(jù)庫(kù),就都曾經(jīng)在圈子里面流通過。

搜狐IT:如何評(píng)價(jià)12306網(wǎng)站,你給鐵科研有那些好的建議?

張百川: 開放!放棄壟斷、放下架子,主動(dòng)邀請(qǐng)像搜狐、新浪、阿里巴巴(淘寶)、騰訊、京東等的團(tuán)隊(duì),就目前的現(xiàn)狀進(jìn)行探討,找出解決方法。上面的這些網(wǎng)站,對(duì)大規(guī)模、大并發(fā)的網(wǎng)站運(yùn)營(yíng)有非常好的經(jīng)驗(yàn)。

個(gè)人認(rèn)為,因?yàn)榛疖嚻笔菤w當(dāng)?shù)罔F路局管的,因此可以做分布式,將數(shù)據(jù)庫(kù)剝離開,放在每個(gè)鐵路局的機(jī)房,這樣可以分擔(dān)壓力,變同時(shí)訪問1個(gè)網(wǎng)站為多個(gè)網(wǎng)站。并且多數(shù)用戶都是就近訪問服務(wù)器,速度快、壓力小。

問診12306之四：產(chǎn)品設(shè)計(jì)團(tuán)隊(duì)缺乏經(jīng)驗(yàn)

問診12306之三：漏洞大 數(shù)億用戶信息可能外泄

問診12306之二：系統(tǒng)不開放 3億投資恐打水漂

專家問診12306：從業(yè)務(wù)模型到產(chǎn)品設(shè)計(jì)都不專業(yè)

文章編輯: 365webcall網(wǎng)站在線客服系統(tǒng)(www.365webcall.com)

我的評(píng)論

登錄賬號(hào)：

密碼：

快速注冊(cè) | 找回密碼