问诊12306之五:系统限于能用 安全漏洞级别高

jopen 12年前

        【搜狐 IT 消息】9月 29 日消息,铁道部 12306 网暴露出的安全漏洞,引发业界强烈的反响。网络安全专家张接受搜狐 IT 采访表示,其漏洞已经到了最为严重的安全级别,如果不及时封堵,存在库里面的个人信息,包括订票信息,都“可能”被别人拿到。

        张百川称,其编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于“能用”,而没有从多角度考虑。建议铁道部必须“开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法。”

        以下是搜狐 IT 书面采访张百川全文实录:

        搜狐 IT:铁道部 12306 网站目前暴露出的漏洞的是怎样的级别,危害程度有多大?

        张百川:看到是有 SQL 注入、XSS 跨站漏洞,这两个一般在各类网站安全评估软件中,评估级别都是高。因多数都能拿到部分数据,如拿到管理员的帐号、密码(要是再知道后台地址就可以登录 了)、跑出订票信息等。严重点说,存在库里面的个人信息,包括订票信息,都“可能”拿到。(之所以说可能,是因为目前没有人公开说拿到数据库,但这并不是 说没有这个可能,毕竟法律风险太大,拿到也不会公开说)

        搜狐 IT:12306网站目前暴露出的漏洞遭遇攻击的难易程度如何?

        张百川:就 SQL 注入和 XSS 跨站而言,利用的难度有高有低。最低的,利用工具 1 分钟就可以跑出数据库里面的数据,难度高的,可以综合利用工具和人工进行攻击。同样是漏洞,可利用的难度差异很大。12306的漏洞,至少不是属于“最弱 智”的那一类,要不早就被初中练手的小孩们拿下了。

        搜狐 IT:12306网站为什么会出现这样漏洞?背后的原因是什么?技术水平如何?

        张百川:编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于“能用”,而没有从多角度考虑。

        如,目前微博爆出来的:SQL 注入漏洞、XSS 跨站漏洞,是自身安全意识的缺乏或者水平较低导致的。有人说是:毕业设计吧?!对此表示赞同。

        并且,从目前的一些安全圈朋友测试来看,本身存在安全隐患,并且也没有采用第三方的安全防护手段。如部署入侵防御系统、WEB 应用防火墙,或者采用一些厂家目前在做的云安全手段等。

        个人认为,该系统验收的时候,目标仅仅是“能用”,至于好不好用、安全不安全,似乎都没有考虑在内。这样的要求,在很多项目中,属于比较低的水平。

        搜狐 IT:评价 12306 网站的整体安全水平如何?与此前 CSDN、阿里巴巴、天涯等遭遇攻击比较,防御能力如何?

        张百川:低!上面提到了,本身做不好,又没有采用第三方的安全防护手段,如可以直接提交 SQL 注入语句、直接提交 XSS 跨站语句,甚至不用考虑做代码变形以绕过安全防护系统。

        看了下网上的消息,CSDN 被黑就是因为 SQL 注入漏洞;阿里巴巴、天涯的,网上没有详细的说明,不好判断。严重与否,取决于数据库是否被下载后又大量传播……像上面的几个网站数据库,就都曾经在圈子里面流通过。

        搜狐 IT:如何评价 12306 网站,你给铁科研有那些好的建议?

        张百川: 开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法。上面的这些网站,对大规模、大并发的网站运营有非常好的经验。

        个人认为,因为火车票是归当地铁路局管的,因此可以做分布式,将数据库剥离开,放在每个铁路局的机房,这样可以分担压力,变同时访问 1 个网站为多个网站。并且多数用户都是就近访问服务器,速度快、压力小。

问诊12306之五:系统限于能用 安全漏洞级别高

        张百川,“游侠安全网”(www.youxia.org)站长、MCP/MCSE/MCDBA、Linux 网络管理工程师。对主机审计、网络审计、数据库审计、运维审计等有深刻认识和研究,对信息与网络安全方案的规划、设计、实施有丰富的实战经验。以“网路游 侠”为名在多家专业网络安全、信息安全媒体发表作品 30 余篇。

来自: 搜狐IT