天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

12306安全漏洞被发现 竟可任意进行退票操作

2012-9-28搜狐IT搜狐IT
2012-09-28 11:26  搜狐IT    我要评论(0)字号:T|T

【搜狐IT消息】在12306能力和用户体验遭受质疑的同时,12306又一更严重的问题被发现,其存在严重安全漏洞,有可能泄露用户信息,并且其他人可以通过该漏洞任意修改用户名和密码,进行订票、退票等操作。

乌云网站上显示的12306漏洞信息

乌云网站上显示的12306漏洞信息

在乌云网站(www.wooyun.org)网站上,在最新确认栏有一条12306某分站信息显示:12306.cn某分站注入漏洞,漏洞类型为SQL注射漏洞,危害等级为高,相关厂商为中国铁道科学研究院,目前漏洞状态为厂商已经确认。

据漏洞作者“yingoing”介绍,技术人员通过漏洞任意修改用户的密码,可进行“订票、退票”等操作,用户信息将遭到泄露。至于具体的操作方法,“yinggoing”表示不便公开,“具体细节就不透露了。等他们修复再公开吧!这个确实影响很大。”

媒体报道,据“乌云白帽子”称,漏洞已提交厂商,等待处理。该漏洞是“乌云白帽子”根据网友提供的信息,“乌云”进行测试,确认漏洞的存在,危害等级为“高”。“乌云白帽子”介绍,12306.cn官网的系统可能没经过严格设计和测试,导致这个安全漏洞的出现,“但详细信息不便透露,等待修复”。

“乌云白帽子”向媒体透露,“乌云”已于18日将漏洞的细节通过邮箱提交给中国铁道科学研究院,正等待厂商处理。

早在今年年初,12306就曾有媒体报道,12306存在安全漏洞问题,有可能造成用户信息泄露,时隔9个多月,12306增加了“强制排队”功能,却没有解决安全问题。

乌云网站是一个专门收集曝光各种系统安全漏洞的网站,早在2011年底,互联网行业爆发泄密事件。乌云网站网站先后曝出CSDN、天涯、当当、京东商城等网站存在安全漏洞,因此声名鹊起。

本文来源:搜狐IT 作者:搜狐IT

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行