圖:“李春雨”出現(xiàn)在大量12306用戶登錄頁面中
春運(yùn)售票首日,12306網(wǎng)站爆發(fā)“串號(hào)”現(xiàn)象,時(shí)間持續(xù)近一個(gè)小時(shí),并導(dǎo)致部分用戶個(gè)人資料泄露。從360安全中心的技術(shù)專家獲悉,12306網(wǎng)站“串號(hào)”主要存在三種可能性,包括網(wǎng)站信息泄露漏洞、CDN配置問題或網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤。
當(dāng)天下午15點(diǎn)開始,用戶登錄12306后顯示一個(gè)名為“李春雨”的賬號(hào),還能看到很多陌生人的賬號(hào)資料,直到15點(diǎn)49分恢復(fù)正常。無論是哪個(gè)地區(qū)用戶、使用哪款瀏覽器,都發(fā)現(xiàn)有“串號(hào)”現(xiàn)象,可以排除運(yùn)營(yíng)商劫持等其他因素,確定是12306網(wǎng)站自身的漏洞。
據(jù)了解,360安全中心監(jiān)測(cè)到12306網(wǎng)站“串號(hào)”漏洞后,在官方微博國(guó)內(nèi) 發(fā)布安全警報(bào),并通知12306網(wǎng)站和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心,幫助12306緊急修復(fù)。360網(wǎng)站安全總監(jiān)趙武分析認(rèn)為,此次12306“串號(hào)”可能是以下三種原因造成的:
一、網(wǎng)站存在信息泄露漏洞,導(dǎo)致登錄賬戶后出現(xiàn)他人資料。此問題的根源在于網(wǎng)站代碼編寫質(zhì)量缺陷,沒有嚴(yán)格按照安全規(guī)范執(zhí)行;
二、網(wǎng)站CDN配置問題,導(dǎo)致用戶能獲取到他人賬號(hào)信息。網(wǎng)站CDN緩存了帶有用戶session( 標(biāo)示符)信息的網(wǎng)頁,當(dāng)用戶A登錄時(shí),服務(wù)端返回頁面內(nèi)容被CDN緩存,此后同網(wǎng)絡(luò)的用戶B也訪問了該網(wǎng)站,可能直接取得了剛才CDN緩存的用戶A的登錄信息,從而導(dǎo)致不同用戶間串號(hào);
三、網(wǎng)站服務(wù)器身份識(shí)別發(fā)生錯(cuò)誤,導(dǎo)致用戶會(huì)話session取值不對(duì),也可能造成用戶賬號(hào)出現(xiàn)異常。
發(fā)布的《2013年中國(guó)網(wǎng)站安全報(bào)告》顯示,國(guó)內(nèi)65.5%的網(wǎng)站存在各類漏洞,此次12306“串號(hào)”也讓更多公眾關(guān)注到網(wǎng)站安全問題。針對(duì)網(wǎng)站“串號(hào)”現(xiàn)象,360網(wǎng)站安全檢測(cè)平臺(tái)建議:
第一、網(wǎng)站應(yīng)在session算法中加入服務(wù)器IP地址、本地時(shí)間戳、用戶IP、用戶ID等信息,以做到session設(shè)計(jì)全局 ;
第二、建議網(wǎng)站增加“加鎖”機(jī)制,以確保在該session會(huì)話信息未刪除前不可被再次使用;
第三、建議12306網(wǎng)站在請(qǐng)求中增加動(dòng)態(tài)隨機(jī)數(shù)或改為HTTPS方式,以解決CDN緩存配置不當(dāng)?shù)膯栴}。
針對(duì)普通網(wǎng)友,360安全專家建議12306用戶盡快修改密碼,以免“串號(hào)”導(dǎo)致用戶權(quán)限混亂帶來安全隱患。此外,用戶也應(yīng)防范可能出現(xiàn)的購票欺詐,不輕信以“12306客服”等名義發(fā)來的可疑信息。
投稿郵箱:chuanbeiol@163.com 詳情請(qǐng)?jiān)L問川北在線:http://sanmuled.cn/