2012-10
24

铁路12306网络售票系统漏洞分析


          一个网站有漏洞是很正常的,可是作为一个政府职能部门的网站,12306的漏洞如此绵绵不绝,那还真是一个奇迹。更为奇迹的事,这些漏洞一直存在,12306一直说在努力升级,可如今还是依旧。本来这些漏洞,桑三博客也不想发出来的,可是看到官网如此不争气,出于无奈,只好把12306的这些漏洞拿出来给大家一起分享下,希望各路技术人员一起参与来给12306指点迷津,共建一个公平愉悦的订票环境。

以下简单说几个12306的问题,我只是简单说下,我想大家应该都懂的!

1、未放票,也可以提前进入预定页面去提交订单。比如查询前面日期任何有票的一天,然后修改乘车日期去预定,因为车次信息一直有效,服务器没有判断。其实你也可以自己伪造一个车次信息去提交,官网照样可以放行。
2、验证码这个太出人意料的问题。只是简单改变上下左右的位置,而没有加入一个随机的斜度,所以可以99%自动识别,利用第一点漏洞配合验证码识别去刷票抢票,非常无敌。
3、现在的队列模式同一个身份证号码可以用多个12306账户去排队,那么我用100个账户去排队一个人的名单,机会就大大提高了;
4、席位修改问题。有硬座的时候,还是可以修改元素为硬卧再去不断提交硬卧。当然还是车次信息的问题,所谓的无票预定等都是利用了智能收藏车次信息保存后就可以用于其他日期这一漏洞。

       以上四个问题真实存在,有技术的可以自己求证。世面上很多12306订票助手也是基于这几个问题来快速订票的,因此只要官网把这几个问题升级解决了,那么很多订票外挂将失去他们强大的快速订票刷票功能。因此,望12306官网尽快升级修复,以给广大网民朋友一个公平愉悦的订票环境。同时提醒下大家,心蓝12306订票助手致力于为广大网名提供一个最为方便快捷友好实用的订票助手程序,完全依赖于12306官网,作为12306网站的客户端程序,我们希望12306越来越完善,这样用户使用心蓝12306订票助手也会越来越便捷。 





上一篇: 韩梅梅结婚了 新郎不是李雷
下一篇: 《再见,陌生人》
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 12306 火车票 安全防御
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 邮件地址支持Gravatar头像,邮箱地址不会公开.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭