你好,歡迎來(lái)到川北在線
微信
騰訊微博
新浪微博
安全專(zhuān)家診斷12306網(wǎng)站:三大因素或?qū)е隆按?hào)”
時(shí)間:2013-12-29 18:21   來(lái)源:TechWeb   責(zé)任編輯:毛青青
安全專(zhuān)家診斷12306網(wǎng)站:三大因素或?qū)е隆按?hào)”

    圖:“李春雨”出現(xiàn)在大量12306用戶(hù)登錄頁(yè)面中
   
    春運(yùn)售票首日,12306網(wǎng)站爆發(fā)“串號(hào)”現(xiàn)象,時(shí)間持續(xù)近一個(gè)小時(shí),并導(dǎo)致部分用戶(hù)個(gè)人資料泄露。從360安全中心的技術(shù)專(zhuān)家獲悉,12306網(wǎng)站“串號(hào)”主要存在三種可能性,包括網(wǎng)站信息泄露漏洞、CDN配置問(wèn)題或網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤。

    當(dāng)天下午15點(diǎn)開(kāi)始,用戶(hù)登錄12306后顯示一個(gè)名為“李春雨”的賬號(hào),還能看到很多陌生人的賬號(hào)資料,直到15點(diǎn)49分恢復(fù)正常。無(wú)論是哪個(gè)地區(qū)用戶(hù)、使用哪款瀏覽器,都發(fā)現(xiàn)有“串號(hào)”現(xiàn)象,可以排除運(yùn)營(yíng)商劫持等其他因素,確定是12306網(wǎng)站自身的漏洞。

    據(jù)了解,360安全中心監(jiān)測(cè)到12306網(wǎng)站“串號(hào)”漏洞后,在官方微博國(guó)內(nèi) 發(fā)布安全警報(bào),并通知12306網(wǎng)站和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心,幫助12306緊急修復(fù)。360網(wǎng)站安全總監(jiān)趙武分析認(rèn)為,此次12306“串號(hào)”可能是以下三種原因造成的:

    一、網(wǎng)站存在信息泄露漏洞,導(dǎo)致登錄賬戶(hù)后出現(xiàn)他人資料。此問(wèn)題的根源在于網(wǎng)站代碼編寫(xiě)質(zhì)量缺陷,沒(méi)有嚴(yán)格按照安全規(guī)范執(zhí)行;

    二、網(wǎng)站CDN配置問(wèn)題,導(dǎo)致用戶(hù)能獲取到他人賬號(hào)信息。網(wǎng)站CDN緩存了帶有用戶(hù)session( 標(biāo)示符)信息的網(wǎng)頁(yè),當(dāng)用戶(hù)A登錄時(shí),服務(wù)端返回頁(yè)面內(nèi)容被CDN緩存,此后同網(wǎng)絡(luò)的用戶(hù)B也訪問(wèn)了該網(wǎng)站,可能直接取得了剛才CDN緩存的用戶(hù)A的登錄信息,從而導(dǎo)致不同用戶(hù)間串號(hào);

    三、網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤,導(dǎo)致用戶(hù)會(huì)話session取值不對(duì),也可能造成用戶(hù)賬號(hào)出現(xiàn)異常。

    發(fā)布的《2013年中國(guó)網(wǎng)站安全報(bào)告》顯示,國(guó)內(nèi)65.5%的網(wǎng)站存在各類(lèi)漏洞,此次12306“串號(hào)”也讓更多公眾關(guān)注到網(wǎng)站安全問(wèn)題。針對(duì)網(wǎng)站“串號(hào)”現(xiàn)象,360網(wǎng)站安全檢測(cè)平臺(tái)建議:

    第一、網(wǎng)站應(yīng)在session算法中加入服務(wù)器IP地址、本地時(shí)間戳、用戶(hù)IP、用戶(hù)ID等信息,以做到session設(shè)計(jì)全局 ;

    第二、建議網(wǎng)站增加“加鎖”機(jī)制,以確保在該session會(huì)話信息未刪除前不可被再次使用;

    第三、建議12306網(wǎng)站在請(qǐng)求中增加動(dòng)態(tài)隨機(jī)數(shù)或改為HTTPS方式,以解決CDN緩存配置不當(dāng)?shù)膯?wèn)題。

    針對(duì)普通網(wǎng)友,360安全專(zhuān)家建議12306用戶(hù)盡快修改密碼,以免“串號(hào)”導(dǎo)致用戶(hù)權(quán)限混亂帶來(lái)安全隱患。此外,用戶(hù)也應(yīng)防范可能出現(xiàn)的購(gòu)票欺詐,不輕信以“12306客服”等名義發(fā)來(lái)的可疑信息。

 

   投稿郵箱:chuanbeiol@163.com   詳情請(qǐng)?jiān)L問(wèn)川北在線:http://dstuf.com/

川北在線-川北全搜索版權(quán)與免責(zé)聲明
①凡注明"來(lái)源:XXX(非在線)"的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),本網(wǎng)不承擔(dān)此類(lèi)稿件侵權(quán)行為的連帶責(zé)任。
②本站所載之信息僅為網(wǎng)民提供參考之用,不構(gòu)成任何投資建議,文章觀點(diǎn)不代表本站立場(chǎng),其真實(shí)性由作者或稿源方負(fù)責(zé),本站信息接受廣大網(wǎng)民的監(jiān)督、投訴、批評(píng)。
③本站轉(zhuǎn)載純粹出于為網(wǎng)民傳遞更多信息之目的,本站不原創(chuàng)、不存儲(chǔ)視頻,所有視頻均分享自其他視頻分享網(wǎng)站,如涉及到您的版權(quán)問(wèn)題,請(qǐng)與本網(wǎng)聯(lián)系,我站將及時(shí)進(jìn)行刪除處理。



圖庫(kù)
合作媒體
金寵物 綠植迷
法律顧問(wèn):ITLAW-莊毅雄律師