又到一年“抢票”时。12306近日新版网站上线,但却被频繁曝出安全漏洞。据国内安全问题反馈平台WooYun(乌云)爆料,于12月6日刚刚上线“自动抢票”功能的新版12306网站系统出现重大漏洞,其图片验证码已被技术人士破解。
以下是具体漏洞细节和破解信息:
图形验证码非常简单,简单的程序即可识别。
12306的验证码抗干扰难度很低。利用photoshop的色调分离技术,即可得到辨识度很高的图片。色调分离很容易实现,比如当参数为3时,会把图片红蓝绿每个通道简化成3个颜色值,并最终形成3 x 3 = 9个颜色值。
然后配上简单的优化,即把没有上下相邻都没有颜色的点排除掉。
将此图片交给Tesseract-OCR,识别率为10%,配上代理服务器,用户将可随意拖库、抢票。
漏洞证明:
色调分离的代码实现
识别验证码所用的样本图片:
实验结果,采集途径北京北站的火车
既做裁判员又做运动员
与浏览器抢票插件之间的“拉锯战”由来已久。今年1月,互联网企业纷纷推出抢票软件或浏览器抢票插件,但推出不久之后便纷纷遭铁道部(现中国铁路总公司前身)封杀,部分浏览器厂商甚至被铁道部约谈,引发诸多争议。
有业内人士指出,此次12306网站图片验证码被破解,意味着众多互联网公司推出的“抢票”将摆脱铁路官方的掣肘,顺利“刷票”。
“12306网站和市场上的抢票系统同为商业化运营,铁路自己既做裁判员又做运动员。12306网站时现瘫痪,也应让其正视自身的软肋所在。”IT与知识产权律师赵占领此前在接受《新金融》采访时作出上述评论。
本文来源:不详 作者:佚名