18650766706   设为首页 加入收藏
滚动新闻:
QQ:529620593 网站投稿 繁体
您所在的位置: 东南网财经频道> 财经观察 > 正文
铁道部12306系统一月曝6漏洞 直接危害订票人信息安全
money.fjnet.cn 2012-09-29 13:59   来源:每日经济新闻    我来说两句

针对近期媒体和网民关心的全国铁路新一代客票系统招标问题,昨日(9月28日)下午,铁道部宣传处对《每日经济新闻》记者作出回应。

但一波未平一波又起,9月27日晚,铁道部官方订票网站12306网上订票系统又被曝出现低级漏洞。

漏洞被指简单且低级

国内权威漏洞报告平台“乌云”发布了一份名为 “12306漏洞一包裹”的漏洞,相关厂商为中国铁道科学研究院。乌云指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期。这是今年9月份以来,12306出现的第6个漏洞。

乌云技术负责人还告诉 《每日经济新闻》记者,半月前12306曾曝出一起漏洞,可能直接危害到订票人的信息安全。这些低级漏洞的出现,系统开发方中国铁道科学研究院恐难辞其咎。

9月27日,一名叫“qiaoy”的网友在乌云网站上提交了一个漏洞报告——12306漏洞一包裹,危害等级为“高”。随后,中国铁道科学研究院确认并回复“修补中”。

乌云网站技术负责人透露,从安全的角度看,这样的漏洞有点简单和低级。“一般网站上线前,公司都会对系统进行系列的严格的测试,所以这种简单的错误和漏洞就会避免。12306曝出低级错误,说明缺乏这种检测措施。”

9月份以来曝出6个漏洞

乌云网站统计数据显示,12306从今年2月份开始,除了6月和8月,几乎每月都有漏洞报告,9月份以来竟然曝出高达6个漏洞。而在半个月前12306的确出现一个漏洞,称12306系统修改任意密码,有可能会导致订票人信息泄露。

从12306曝出的漏洞类型看,主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误,其中,SQL注射漏洞这一类型的漏洞最多的,比例达到78%。

由于铁道部实行购票实名制,低级安全漏洞的出现让不少订票者感到了担忧。

同时,这份低级漏洞报告,也让系统开发方中国铁道科学研究院浮出水面,因为12306所有的漏洞相关厂商都是该学院的名称。

公开资料显示,中国铁道科学研究院成立于1950年3月1日,2002年由事业单位转制为铁道部直属大型科技企业。在铁道科学研究院的官网上,一个铁道部先进集体引起了记者的注意,该集体正是“全路客票发售和预订系统项目组”,于1996年组建而成,这个时间正是铁路客票系统最早期的开发时间。

资料显示,承担开发建设中国铁路客票发售和预订系统任务的总体组,组员为抽调集中了中国铁道科学研究院、北方交通大学、长沙铁道学院、上海铁道大学、西南交通大学、华东交通大学、大连铁道学院、兰州铁道学院、石家庄铁道学院及有关铁路局一批科技精英,历时4年时间开发。

不过,《每日经济新闻》记者昨日打电话联系该项目组的组长和研究员时,学院方面竟表示“查无此人”。

责任编辑:乔佳利

2012中国家庭理财状况调查报告

中国家庭的流动资产均值为386,000元人民币,实现资产增值是中国家庭理财规划的首选目标,其次为保障子女教育和安排退休生活。在各投资类别中,持有存款的家庭占87%,而投资股票的家庭占66%...[详细]

新闻列表

相关新闻