圖：“李春雨”出現(xiàn)在大量12306用戶登錄頁面中
   
    春運(yùn)售票首日，12306網(wǎng)站爆發(fā)“串號(hào)”現(xiàn)象，時(shí)間持續(xù)近一個(gè)小時(shí)，并導(dǎo)致部分用戶個(gè)人資料泄露。從360安全中心的技術(shù)專家獲悉，12306網(wǎng)站“串號(hào)”主要存在三種可能性，包括網(wǎng)站信息泄露漏洞、CDN配置問題或網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤。

    當(dāng)天下午15點(diǎn)開始，用戶登錄12306后顯示一個(gè)名為“李春雨”的賬號(hào)，還能看到很多陌生人的賬號(hào)資料，直到15點(diǎn)49分恢復(fù)正常。無論是哪個(gè)地區(qū)用戶、使用哪款瀏覽器，都發(fā)現(xiàn)有“串號(hào)”現(xiàn)象，可以排除運(yùn)營商劫持等其他因素，確定是12306網(wǎng)站自身的漏洞。

    據(jù)了解，360安全中心監(jiān)測(cè)到12306網(wǎng)站“串號(hào)”漏洞后，在官方微博國內(nèi) 發(fā)布安全警報(bào)，并通知12306網(wǎng)站和國家互聯(lián)網(wǎng)應(yīng)急中心，幫助12306緊急修復(fù)。360網(wǎng)站安全總監(jiān)趙武分析認(rèn)為，此次12306“串號(hào)”可能是以下三種原因造成的：

    一、網(wǎng)站存在信息泄露漏洞，導(dǎo)致登錄賬戶后出現(xiàn)他人資料。此問題的根源在于網(wǎng)站代碼編寫質(zhì)量缺陷，沒有嚴(yán)格按照安全規(guī)范執(zhí)行；

    二、網(wǎng)站CDN配置問題，導(dǎo)致用戶能獲取到他人賬號(hào)信息。網(wǎng)站CDN緩存了帶有用戶session（ 標(biāo)示符）信息的網(wǎng)頁，當(dāng)用戶A登錄時(shí)，服務(wù)端返回頁面內(nèi)容被CDN緩存，此后同網(wǎng)絡(luò)的用戶B也訪問了該網(wǎng)站，可能直接取得了剛才CDN緩存的用戶A的登錄信息，從而導(dǎo)致不同用戶間串號(hào)；

    三、網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤，導(dǎo)致用戶會(huì)話session取值不對(duì)，也可能造成用戶賬號(hào)出現(xiàn)異常。

    發(fā)布的《2013年中國網(wǎng)站安全報(bào)告》顯示，國內(nèi)65.5%的網(wǎng)站存在各類漏洞，此次12306“串號(hào)”也讓更多公眾關(guān)注到網(wǎng)站安全問題。針對(duì)網(wǎng)站“串號(hào)”現(xiàn)象，360網(wǎng)站安全檢測(cè)平臺(tái)建議：

    第一、網(wǎng)站應(yīng)在session算法中加入服務(wù)器IP地址、本地時(shí)間戳、用戶IP、用戶ID等信息，以做到session設(shè)計(jì)全局 ；

    第二、建議網(wǎng)站增加“加鎖”機(jī)制，以確保在該session會(huì)話信息未刪除前不可被再次使用；

    第三、建議12306網(wǎng)站在請(qǐng)求中增加動(dòng)態(tài)隨機(jī)數(shù)或改為HTTPS方式，以解決CDN緩存配置不當(dāng)?shù)膯栴}。

    針對(duì)普通網(wǎng)友，360安全專家建議12306用戶盡快修改密碼，以免“串號(hào)”導(dǎo)致用戶權(quán)限混亂帶來安全隱患。此外，用戶也應(yīng)防范可能出現(xiàn)的購票欺詐，不輕信以“12306客服”等名義發(fā)來的可疑信息。

   投稿郵箱：chuanbeiol@163.com   詳情請(qǐng)?jiān)L問川北在線：http://www.dstuf.com/