以傳播城市化專業知識為己任
2024年11月24日
星期日
設為首頁
|
加入收藏
搜索
近日,中央電視臺新聞欄目曝光了利用12306網站的漏洞,借助電子搶票軟件非法牟利的消息,立刻引起社會關注。根據調查,12306網站在售退票過程中多個環節存在漏洞。
根據報道,網上流行著許多搶票軟件,其中還包括收費的搶票工具,從幾元幾十元一個的“個人版”,到收費上千元每月的“企業版”,價格不等功能不一。
記者昨天聯系到獵豹公司相關負責人。對方表示,這些刷屏軟件可以避開12306網站的購票規則,并且能夠輕松繞過其技術限制,大量刷得火車票。
據了解,12306網站為防止機器幕后操縱,特意對訂票過程設置限制,即兩次查票時間間隔不低于5秒,登陸和提交訂單時需輸入驗證碼。同時規定,普通用戶通過12306每次只能買5張票。
上述負責人表示,通過調查他們發現,這些刷屏軟件可以自動尋找12306網站速度最好的服務器,提高刷屏成功的幾率,然后利用網站驗證碼漏洞以毫秒速度自動輸入驗證碼,并且可以規避5秒查票時間間隔,沒有了這些限制之后,刷屏軟件可以比常人手動搶票快“上百倍”。
利用上述刷票軟件,一些通過刷票倒賣火車票的“網絡黃牛”在成功繞過驗證、自動刷票、毫秒搶票之后提前利用假身份證注冊上千個賬號,然后批量導入這些賬號同時刷票,一次性就可搶到上千張票,甚至一整節車廂的票都能被瞬間搶走。有網友直呼,“黃牛軟件才真正是‘狂拽吊炸天’的搶票神器啊”。
通過對12306網站的分析,獵豹安全專家發現,12306網站對訂單提交驗證碼時校驗不嚴,沒有保證進入提交頁后獲取。該漏洞導致刷票軟件可以直接獲得驗證碼圖片,查票完成后,直接提交訂單,跳過驗證碼環節。
對此,安全專家建議12306網站修改驗證碼機制,采用人工智能驗證碼。比如問題是,足球和乒乓球哪個大?答案是足球。1+3=幾,答案是4。用戶只需輸入“足球”或者“4”就可以通過驗證。這種驗證碼,機器極難回答,而人工很容易回答。
根據報道,12306網站在身份證驗證方面并沒有與公安機關進行身份證系統的對接,也為“網絡黃牛”提供了可乘之機,導致大量車票流入不發之徒手中。安全專家建議12306網站與公安機關進行身份證系統的對接,用戶注冊和購票時,需要提供真實有效的身份證信息。
