又到一年“抢票”时。12306近日新版网站上线，但却被频繁曝出安全漏洞。据国内安全问题反馈平台WooYun(乌云)爆料，于12月6日刚刚上线“自动抢票”功能的新版12306网站系统出现重大漏洞，其图片验证码已被技术人士破解。

以下是具体漏洞细节和破解信息：

图形验证码非常简单，简单的程序即可识别。

12306的验证码抗干扰难度很低。利用photoshop的色调分离技术，即可得到辨识度很高的图片。色调分离很容易实现，比如当参数为3时，会把图片红蓝绿每个通道简化成3个颜色值，并最终形成3 x 3 = 9个颜色值。

然后配上简单的优化，即把没有上下相邻都没有颜色的点排除掉。

将此图片交给Tesseract-OCR，识别率为10%，配上代理服务器，用户将可随意拖库、抢票。

漏洞证明：

色调分离的代码实现

识别验证码所用的样本图片：

实验结果，采集途径北京北站的火车

既做裁判员又做运动员

与浏览器抢票插件之间的“拉锯战”由来已久。今年1月，互联网企业纷纷推出抢票软件或浏览器抢票插件，但推出不久之后便纷纷遭铁道部（现中国铁路总公司前身）封杀，部分浏览器厂商甚至被铁道部约谈，引发诸多争议。

有业内人士指出，此次12306网站图片验证码被破解，意味着众多互联网公司推出的“抢票”将摆脱铁路官方的掣肘，顺利“刷票”。

“12306网站和市场上的抢票系统同为商业化运营，铁路自己既做裁判员又做运动员。12306网站时现瘫痪，也应让其正视自身的软肋所在。”IT与知识产权律师赵占领此前在接受《新金融》采访时作出上述评论。