9月28日晚間消息，昨晚網(wǎng)絡(luò)曝出12306又一更嚴(yán)重問題被發(fā)現(xiàn)，其存在嚴(yán)重安全漏洞，有可能泄露用戶信息，并且其他人可以通過該漏洞任意修改用戶名和密碼，進(jìn)行訂票、退票等操作。對(duì)此，搜狐IT走訪行業(yè)安全方面的專家。通過對(duì)12306暴露出問題進(jìn)行分析，專家稱 12306網(wǎng)站安全隱患已經(jīng)達(dá)到非常嚴(yán)重的級(jí)別，如果不及時(shí)升級(jí)封堵，上億用戶信息可能外泄。

　　搜狐IT獨(dú)家解剖12306網(wǎng)站結(jié)構(gòu)圖

　　曝出來的漏洞僅是冰山一角

　　針對(duì)網(wǎng)絡(luò)曝出12306曝出安全漏洞，搜狐IT走訪了網(wǎng)絡(luò)安全專家、安全寶CEO馬杰。馬杰曾經(jīng)是瑞星公司技術(shù)工程師，擁有10余年的安全方面經(jīng)驗(yàn)。

　　網(wǎng)絡(luò)安全專家、安全寶CEO馬杰

　　馬杰告訴搜狐IT說，“網(wǎng)絡(luò)已曝出來的漏洞，還是比較一般的漏洞，還有最嚴(yán)重的漏洞，可以影響到它們整個(gè)數(shù)據(jù)庫的安全，對(duì)已購買過票的用戶，信息有一定的外泄風(fēng)險(xiǎn)。”

　　網(wǎng)民還是比較負(fù)責(zé)的態(tài)度，僅公開了其中一部分漏洞，白墨黑字和截圖，卻沒有泄露更多的用戶信息。馬杰分析稱，相比工商、稅務(wù)、公安等信息系統(tǒng)來說，12306也是一個(gè)非常重要的網(wǎng)站，關(guān)系到數(shù)以萬計(jì)的民眾，但是，其安全性還是比較差。比較資深的安全專家和比較厲害的黑客，可以進(jìn)入數(shù)據(jù)庫。“沒有授權(quán)，不方便進(jìn)入，可能牽涉到大量的用戶信息”。

　　“我們做過網(wǎng)站安全測試，90%網(wǎng)站存在安全漏洞，其中20-30%存在嚴(yán)重安全漏洞。12306已達(dá)到最嚴(yán)重級(jí)別!”馬杰說，作為一名技術(shù)人員，他從外圍已經(jīng)看到諸多漏洞。如果擁有相關(guān)機(jī)構(gòu)授權(quán)，或者他可以當(dāng)場給媒體演示其存在的問題。

　　此前，微博截圖12306網(wǎng)站內(nèi)部代碼(如圖)，遭到大量網(wǎng)民的吐槽。馬杰分析說，這些代碼，比較初級(jí)，是造成網(wǎng)站慢原因的之一。因?yàn)轭愃啤發(fā)ike、%”等的技術(shù)語言，是一種模糊匹配，效率極其低下，一般的網(wǎng)站盡量少用這種匹配?！岸W(wǎng)民能夠輕而易舉進(jìn)去，從容截圖，從側(cè)面說明了其安全性不夠?！?/P>

　　微博曝光12306網(wǎng)站內(nèi)部代碼截圖

　　12306可能是一個(gè)“草臺(tái)班子”

　　一位不愿透露姓名團(tuán)購網(wǎng)站副總裁分析稱，從這個(gè)網(wǎng)站的架構(gòu)看，完全是一個(gè)不成熟的網(wǎng)站，最初設(shè)想也可能是“內(nèi)部使用”，難以支撐上億級(jí)別的訪問量。

　　從外泄的代碼看，“l(fā)ike、%”等的技術(shù)語言，這是以前將就訪問量低于百萬級(jí)別網(wǎng)站使用，稍微有技術(shù)常識(shí)的技術(shù)人員，不會(huì)使用這樣的低級(jí)語言。

　　對(duì)此，馬杰表示了同樣的看法。他認(rèn)為，類似12306這樣的網(wǎng)站，應(yīng)該有一個(gè)30-40人的技術(shù)團(tuán)隊(duì)，而且，還要來自不同的層面研發(fā)。從目前其網(wǎng)站安全角度看，它猜測應(yīng)該沒有這么多不同層次水平的技術(shù)人員。

　　“標(biāo)書”不應(yīng)忽視信息安全

　　2011年底發(fā)生的CSDN、天涯、人人網(wǎng)等用戶信息泄密事件，2012年3.15晚會(huì)中披露的浦發(fā)銀行、光大銀行、工商銀行、淘寶、京東商城等信息泄密，警鐘長鳴!信息安全觸及著每一個(gè)人的神經(jīng)。然而，涉及到上億用戶信息的12306卻如此不堪一擊，讓專家們?yōu)橹畵?dān)憂。

　　但是，這次12306網(wǎng)的漏洞又讓人們捏一把汗。 “雙節(jié)”過后，會(huì)不會(huì)出現(xiàn)乘坐火車的個(gè)人信息外泄?如果12306不立即亡羊補(bǔ)牢，可能會(huì)后患無窮。一位安全領(lǐng)域?qū)＜覍?duì)搜狐IT表示。

　　其實(shí)，此前鐵道部3億的招標(biāo)升級(jí)系統(tǒng)引發(fā)了較大質(zhì)疑。馬杰對(duì)搜狐IT表示，尚不清楚招標(biāo)項(xiàng)目中有沒有包括安全廠商?！疤珮O是一家優(yōu)秀的軟件集成商，應(yīng)聚集這方面的人才，進(jìn)行應(yīng)對(duì)。”馬杰說，如果通過一個(gè)防火墻的，恐怕能力有限，因?yàn)樯婕皵?shù)據(jù)量非常大，恐怕承受不了。如果鐵道部愿意系統(tǒng)開放，“安全寶公司可免費(fèi)為其做‘黑盒’(外圍)安全保障?！?/P>

　　對(duì)于3億巨額招標(biāo)之后，鐵道部到底該如何運(yùn)作12306系統(tǒng)?馬杰認(rèn)為，大家不應(yīng)該將矛頭對(duì)準(zhǔn)鐵道部，因?yàn)槊總€(gè)行業(yè)面臨的現(xiàn)狀都差不多。“不過，應(yīng)該讓負(fù)責(zé)網(wǎng)站運(yùn)維的人，去做運(yùn)維的事情，讓負(fù)責(zé)安全的人去做安全的事情。 ”馬杰說。