你好,欢迎来到川北在线
微信
腾讯微博
新浪微博
安全专家诊断12306网站:三大因素或导致“串号”
时间:2013-12-29 18:21   来源:TechWeb   责任编辑:毛青青
安全专家诊断12306网站:三大因素或导致“串号”

    图:“李春雨”出现在大量12306用户登录页面中
   
    春运售票首日,12306网站爆发“串号”现象,时间持续近一个小时,并导致部分用户个人资料泄露。从360安全中心的技术专家获悉,12306网站“串号”主要存在三种可能性,包括网站信息泄露漏洞、CDN配置问题或网站服务器身份识别发生错误。

    当天下午15点开始,用户登录12306后显示一个名为“李春雨”的账号,还能看到很多陌生人的账号资料,直到15点49分恢复正常。无论是哪个地区用户、使用哪款浏览器,都发现有“串号”现象,可以排除运营商劫持等其他因素,确定是12306网站自身的漏洞。

    据了解,360安全中心监测到12306网站“串号”漏洞后,在官方微博国内 发布安全警报,并通知12306网站和国家互联网应急中心,帮助12306紧急修复。360网站安全总监赵武分析认为,此次12306“串号”可能是以下三种原因造成的:

    一、网站存在信息泄露漏洞,导致登录账户后出现他人资料。此问题的根源在于网站代码编写质量缺陷,没有严格按照安全规范执行;

    二、网站CDN配置问题,导致用户能获取到他人账号信息。网站CDN缓存了带有用户session( 标示符)信息的网页,当用户A登录时,服务端返回页面内容被CDN缓存,此后同网络的用户B也访问了该网站,可能直接取得了刚才CDN缓存的用户A的登录信息,从而导致不同用户间串号;

    三、网站服务器身份识别发生错误,导致用户会话session取值不对,也可能造成用户账号出现异常。

    发布的《2013年中国网站安全报告》显示,国内65.5%的网站存在各类漏洞,此次12306“串号”也让更多公众关注到网站安全问题。针对网站“串号”现象,360网站安全检测平台建议:

    第一、网站应在session算法中加入服务器IP地址、本地时间戳、用户IP、用户ID等信息,以做到session设计全局 ;

    第二、建议网站增加“加锁”机制,以确保在该session会话信息未删除前不可被再次使用;

    第三、建议12306网站在请求中增加动态随机数或改为HTTPS方式,以解决CDN缓存配置不当的问题。

    针对普通网友,360安全专家建议12306用户尽快修改密码,以免“串号”导致用户权限混乱带来安全隐患。此外,用户也应防范可能出现的购票欺诈,不轻信以“12306客服”等名义发来的可疑信息。

 

   投稿邮箱:chuanbeiol@163.com   详情请访问川北在线:http://www.guangyuanol.cn/

川北在线-川北全搜索版权与免责声明
①凡注明"来源:XXX(非在线)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,本网不承担此类稿件侵权行为的连带责任。
②本站所载之信息仅为网民提供参考之用,不构成任何投资建议,文章观点不代表本站立场,其真实性由作者或稿源方负责,本站信息接受广大网民的监督、投诉、批评。
③本站转载纯粹出于为网民传递更多信息之目的,本站不原创、不存储视频,所有视频均分享自其他视频分享网站,如涉及到您的版权问题,请与本网联系,我站将及时进行删除处理。



图库
合作媒体
金宠物 绿植迷
法律顾问:ITLAW-庄毅雄律师