铁道部的12306订票网站的能力和用户体验遭受质疑的同时,该网站又一更严重的问题被发现,其存在严重安全漏洞,有可能泄露用户信息,并且其他人可以通过该漏洞任意修改用户名和密码,进行订票、退票等操作。

乌云网站上显示的12306漏洞信息

保存到相册

在专门收集曝光各种系统安全漏洞的乌云网站(www.wooyun.org)上,在最新确认栏有一条12306某分站信息显示:12306.cn某分站注入漏洞,漏洞类型为SQL注射漏洞,危害等级为高,相关厂商为中国铁道科学研究院,目前漏洞状态为厂商已经确认。

据漏洞作者“yingoing”介绍,技术人员通过漏洞任意修改用户的密码,可进行“订票、退票”等操作,用户信息将遭到泄露。至于具体的操作方法和具体细节就不透露了,等他们修复再公开吧!这个确实影响很大。”

乌云白帽子称,漏洞已提交厂商,等待处理。该漏洞是乌云白帽子根据网友提供的信息,“乌云”进行测试,确认漏洞的存在,危害等级为“高”。“乌云白帽子”介绍,12306.cn官网的系统可能没经过严格设计和测试,导致这个安全漏洞的出现,“但详细信息不便透露,等待修复”。

“乌云白帽子”向媒体透露,“乌云”已于18日将漏洞的细节通过邮箱提交给中国铁道科学研究院,正等待厂商处理。

早在今年年初,12306就曾有媒体报道,12306存在安全漏洞问题,有可能造成用户信息泄露,时隔9个多月,12306增加了“强制排队”功能,却没有解决安全问题。

小知识之乌云网站

乌云网站是一个专门收集曝光各种系统安全漏洞的网站,早在2011年底,互联网行业爆发泄密事件。乌云网站网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞,因此声名鹊起。